#MundoHacker: ¿Qué tener en cuenta a la hora de realizar pagos online?

hackeotarjetas

El otro día en los comentarios del artículo en el que explicaba las ventajas de contar con una tarjeta VISA de prepago que no nos cobra comisiones por cambio de divisa, Mikel me preguntó varias dudas que me parecieron la mar de interesantes.

Tanto como para dedicarle una pieza de #MundoHacker, que curiosamente llevaba tiempo sin publicar, desmitificando la reticencia que hay habitualmente a la hora de realizar pagos online.

Y empiezo fuerte, que conste :).

¡Vamos al lío!

Los pagos online son seguros

Hay que partir de este hecho, y es que un pago online es tan seguro como lo sea la plataforma en la que estamos haciendo la transferencia. Como la mayoría de plataformas tiran de un TPV bancario o de un servicio de terceros (generalmente una multinacional como Stripe o PayPal de más que demostradas garantías), no se diferencia en prácticamente nada a cualquier otro pago que hagamos presencialmente, y si me apuras, incluso hasta, según con qué plataforma se realice, tenemos una serie de garantías extras:

Sin ir más lejos PayPal tiene un seguro anti-fraude (ES) por el que podremos reclamar cualquier pago realizado que no haya cumplido lo prometido en la transacción.

De hecho, el riesgo suele venir más dado por las posibles tergiversaciones que haya desde el lado del comprador, o desde el intermediario. Vamos a ver ambas casuísticas:

  • La página en la que hacemos el pago es fraudulenta: Aquí el problema no es que el pago en sí haya sido inseguro, sino que de forma segura se ha hecho a alguien que tiene fines maliciosos. ¿Te acuerdas lo que comenté al hilo de los certificados SSL en webs fraudulentas? Pues eso mismo. Puede que nos esté clonando la tarjeta (para luego revenderla en el mercado negro) o queriendo cobrar otros cargos que no hemos hecho.
  • Ataques de hombre en el medio: Un tercero podría haber comprometido alguno de los elementos que conforman la cadena de suministro digital entre el comprador (nosotros) y el vendedor (el servicio online) para tergiversar los pagos, de forma que o bien no le lleguen al vendedor, o bien nos clonen la tarjeta/realicen pagos a nuestra cuenta. Y esto se puede hacer comprometiendo el software del vendedor, o atacando al cliente (su dispositivo, su red…).

Pero en ambos casos, y esto es lo que quiero dejar claro, la seguridad del propio pago no se ha comprometido. Lo que se ha comprometido es el entorno. Algo que podría ocurrir también en cualquier local físico (en un descuido nuestro el dependiente nos clona la tarjeta, o alguien nos roba la cartera).

¿Qué podemos hacer entonces para minimizar estos riesgos?

Básicamente, hay varias cuestiones que mejoran considerablemente la seguridad y privacidad de nuestros pagos online.

A saber:

  • Perderle el miedo a la aplicación móvil: Muchos compañeros de profesión se niegan a llevar la app del banco en su smartphone, presumiblemente por seguridad… cuando debería ser justo al contrario. Dejando de lado el factor usabilidad, y teniendo en cuenta que parto de la hipótesis de que, como mínimo, ya tienes activado un sistema de bloqueo de pantalla mediante patrón, PIN, contraseña o biometría, siempre va a ser más seguro conectarse a nuestro banco desde la app oficial que hacerlo desde la web. Siempre. En una app es mucho más difícil realizar ataques de envenenamiento o un MITM, además de que ya de base suelen contar con una conexión cifrada de punto a punto. En su página web estamos expuestos a posibles tergiversaciones del navegador y/o el ordenador. Más, en todo caso, que lo que puede ocurrir en un smartphone.
  • Cómo conectarnos a servicios de pago: A la hora de elegir pagar con nuestra tarjeta, por ejemplo en una plataforma de juego como se describe en este artículo de mejorcasino.com.es (ES) en lo referido a pagar con tarjeta, sobre todo en casino móviles aplicaciones, siempre que podamos lo haremos tirando de la conexión de datos de nuestro smartphone, de un WiFi propio, y en caso de que los dos anteriores no sean posibles, mediante una conexión/dispositivo de terceros que cuente con una VPN de confianza activa. Y esto aplica a cualquier conexión sensible, no solo económica.
  • El segundo factor propio de la mayoría de tarjetas: En España es muy habitual que para compras superiores a 20 euros nos pidan insertar el PIN a la hora de realizar el pago. Y online pasa exactamente igual, con un código numérico que nos envía el banco bien sea por SMS, bien sea mediante la app del móvil, para certificar que en efecto somos nosotros quienes lo han realizado. Que no me canso de repetirlo. El doble factor de autenticación demuestra ser el elemento de seguridad que más seguridad da a nuestras cuentas.
  • Pagar con tarjetas de prepago: Aún con todo, nadie está libre de que algún servicio haya sido comprometido, y en su base de datos (seguramente por una política de tratamiento de datos inadecuada) se hayan expuesto los datos de nuestra cuenta a terceros. En este caso lo mejor es, siempre que podamos, pagar con tarjetas prepago como la que enlazaba al principio del artículo, ya que aunque al menos en España ante un fraude el banco tiene la obligación de hacerse cargo del gasto, en una tarjeta de prepago como mucho lo que nos van a poder sacar es el dinero que tenga en ese momento, no todo lo de nuestra cuenta bancaria.

En fin, que quizás para algunos lo que comento en este artículo le pueda parecer trivial, pero me consta que son dudas que mucha gente tiene y que por tanto conviene responder en una pieza separada.

Caso aparte está el tema de la privacidad de los pagos digitales. Está claro que más privado que pagar con dinero físico no hay nada (no deja huella alguna). Pero a sabiendas de que la tendencia es ir hacia derroteros donde el pago digital sea el estándar, y teniendo en cuenta que es más seguro (el dinero físico si te lo roban lo has perdido, ya que no hay manera de demostrar que era tuyo) y mucho más cómodo, más vale que nos vayamos acostumbrando y realizando pagos de una manera segura.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias