web segura

Estamos en plena campaña de Black Friday, con todas las páginas ofreciendo ofertas irresistibles, por lo que aunque ya hayamos tratado este tema en otras ocasiones, me parece importante resumir en esta pieza algunos aspectos que debemos considerar a la hora de saber si una página es legítima y confiable.

Y para ello, vamos a fijarnos en algunos puntos en particular.

La reputación de la marca

Es el primer punto básico en el que debemos pararnos.

El nivel de reputación de un servicio se refleja en las distintas reseñas que se encuentran en los comentarios de los usuarios de estos servicios, o en chats públicos que se encuentran a menudo en la web. Básicamente, expresa el tratamiento que dan a los usuarios, sus prestaciones, y en la política de uso del servicio, que cubre las actuaciones, derechos o obligaciones tanto del proveedor como del usuario ante cualquier tipo de problemas o inconvenientes.

¿Es conocida esa página web o servicio?

Para ello, basta con realizar una búsqueda rápida en Google del tipo «NOMBREDELAPÁGINA opiniones» o «NOMBREDELAPÁGINA reseñas».

Aunque es cierto que la reputación en Internet, como cualquier otra variable subjetiva, puede ser tergiversada, a poco que revisemos varias páginas o foros donde hablen de esa web en particular (no quedarse solo con una), obtendremos una panorámica bastante cercana a la confianza real que podamos depositar en el servicio.

En el sector del gambling, por ejemplo, resulta muy sencilo revisar los listados de casinos reputables (ES) que cumplen con una serie de aspectos y requerimientos regulatorios importantes a la hora de decidir apostar en uno u otro servicio.

Y lo mismo pasa con un eCommerce. A fin de cuentas, vamos a meter los datos de nuestra tarjeta de crédito en una página de terceros.

La política de uso de la página

Dependiendo del sector al que pertenezca el servicio que oferta la web, existen unas directrices o lineamientos básicos para que te sientas confiado de que estas registrado en un servicio online confiable. Que cumple con todos los parámetros para que no sea llamado o catalogado como deshonesto o ilegítimo, cuando no directamente un fraude.

Por ello, hay dos aspectos principales que debes tener muy en cuenta al momento de elegir el sitio, o conocer si ese al que has llegado es o no confiable:

  •  Regulación y Licencia: Sectores como los del gambling obligan a que toda página que ofrezca este tipo de servicios tiene necesariamente que contar con una licencia emitida por un organismo autorizado para estar legalmente operativo, que dependerá del país desde el que te conectes. En el caso español, por ejemplo, para que un proveedor de servicio ofrezca garantías, es necesario que esté listado dentro de la DGOJ, como ya expliqué en su día en este otro artículo tutorial, y esta licencia debe estar enlazada a la página oficial de la Regulación de Juego con un icono de «Juego Seguro», que además debe estar situado y bien visible en el pie de la página. Para eCommerce, esto se complica un poco más (no existen listados per sé de negocios de confianza), pero la recomendación es que revisemos primero de todo el pie de la página, donde deberá estar enlazada la política de uso y devoluciones de la tienda, con el fin de conocer quién está realmente detrás (ahí deben aparecer los datos fiscales de la empresa o particular que administra el servicio) y a qué podemos atenernos a la hora de, por ejemplo, intentar realizar una devolución.
  • Atención al Cliente: Ante cualquier duda, no está de más escribir o buscar qué vías ofrece el servicio de Atención al cliente. Nunca asumas que no aparecerá una inquietud o un problema, sobre todo cuando se trata de una situación en la que se maneja dinero o finanzas. La mayoría de páginas que ofertan productos o servicios cuentan ya con chats en vivo, llamadas telefónicas gratis para el usuario que se encuentra en una situación de duda, y correo electrónico de rápida respuesta. En caso de que te sea muy difícil encontrar esta información (no haya un apartado claro de contacto), o ni siquiera lleguen a contestar, puede servirte de alerta ante potenciales fraudes.

La tecnología

Quería desmitificar primero de todo esa idea, preconcebida de una época en la que, en efecto, casi podíamos decir que esto se cumplía, de que si la página tiene un SSL habilitado y funcionando (el candadito cerrado al lado de la dirección URL de la web), es que la página es legítima y segura.

La realidad, como ya expliqué hace unos años, es que hoy en día ese candadito ni demuestra legitimidad, ni demuestra seguridad. Simplemente informa de que toda conexión que hagamos con la página se realiza mediante protocolo cifrado. Es decir, de forma privada.

Perfectamente, una campaña de fraude o phishing, puede utilizar el mismo diseño de una página web legítima, estar firmada esta con un SSL, y seguir siendo un fraude.

Ante la duda, sobre todo si hemos llegado a la web por una publicidad en redes sociales o un enlace que alguien nos envía, es que directamente pongamos el nombre del servicio en Google, y entremos en la primera página. Gracias a esto, evitamos posibles ataques de homografía (direcciones URL que parecen ser las de una web conocida, pero que continenen caracteres distintos a los legítimos que al ojo humano parecen ser los mismos).

Por último, y de cara a hacer transacciones económicas en un servicio cuya confianza desconozcamos, siempre es más recomendable realizar los pagos mediante un servicio como PayPal, que ante potenciales fraudes, cuenta con una garantía para el consumidor incluida en el fee que cobran, y que se haría cargo del engaño.

Si no es posible utilizar PayPal y solo ofrece pago mediante tarjeta de crédito, asegurarnos que la pasarela de pago utiliza una plataforma conocida, como puede ser Redsys.

Eso sí, en ningún momento recomendaría hacer pagos mediante transferencia bancaria, o meter nuestros datos de la tarjeta en una web que desconozcamos. Y ya no hablemos de pagos mediante servicios tan poco confiables como puede ser Western Union y compañía.

Estos aspectos se complementan con la regulación y las tecnologías de cifrado (recuerda que un SSL activo es OBLIGATORIO, pero no certifica la legitimidad del servicio), lo que garantiza que los datos de los usuarios tienen la debida protección de terceros.  

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.