Según las últimas encuestas1, más del 40% de los usuarios de Internet en México utilizan alguna forma de comercio electrónico. Esto incluye, aunque no de forma exclusiva, compras por Internet, banca en línea, pago de servicios intermedios de transferencias monetarias, etc. Y es que, afrontémoslo: hoy en día es mucho más sencillo realizar nuestras operaciones monetarias con unos cuantos clicks, evitando largas filas de banco, tráfico, etc. Lo que es más, cada vez estamos dispuestos a gastar más en estas transferencias, cuyos rangos van desde los $400 hasta los $1000 en promedio por compras personales, y desde $500 hasta $3000 en compras de negocio. En definitiva, es un área de gran crecimiento y oportunidad de negocio.
Lamentablemente, como todas las áreas de rápido crecimiento y pronunciado interés en la población en general, estamos propensos a ataques por parte de maleantes. Nuestra información financiera es muy valiosa, ya sea para que alguien realice una compra con nuestra tarjeta, o para utilizarla como identificación para procesos más complicados (y, usualmente, mucho más nefastos). En los últimos años, a la par con el crecimiento de Internet y el comercio electrónico, hemos visto un surgimiento de toda una economía underground en donde nuestra información es intercambiada, comprada y vendida al mejor postor y las ganancias no son pocas. Más de la mitad de la información que se comercia son datos financieros, ya sea información de tarjetas de crédito o información de cuentas bancarias en línea, completas con nombres de usuario y contraseñas, y con ganancias de varios miles de dólares. Como se ve, el incentivo para robar esta información es bastante grande.
¿Qué se roban?
Como ya mencionamos, la información más fácilmente utilizable es la más valiosa, y por consiguiente la más buscada. Entre la principal información que buscan los maleantes se encuentran los números de tarjeta de crédito (en conjunto con la información periférica necesaria, como el código de 4 dígitos adicional) que permiten a los maleantes realizar cargos a nuestro nombre, no solo para adquirir mercancías, sino también para suplantar nuestra identidad a la hora de registrarse en algún sitio u organización.
Los propósitos de esto son, a veces, mucho peor que algunos pesos perdidos: el famoso caso de Landslide (1999-2001) mandó a la cárcel a un buen número de personas cuyas tarjetas fueron utilizadas para establecer sitios de pornografía infantil, por ejemplo. Aunque hasta el día de hoy existen apelaciones y los inocentes son (lentamente) liberados, el problema fue gigantesco para los involucrados.
En segundo lugar, los maleantes buscan hacerse de la información que da acceso a los sistemas de banca electrónica; esto es, nuestros nombres de usuario y contraseñas. Algunos bancos ya han tomado medidas al respecto (utilizando los famosos ‘tokens’), sin embargo todavía existen servicios resguardados únicamente por contraseñas. Esta información es notablemente más difícil de encontrar, y por tanto más valiosa: una sola cuenta de acceso puede ser vendida en $1000 USD, por ejemplo. Con esta información los atacantes pueden acceder a una gama mayor de servicios; una cuenta bancaria les permite realizar movimientos de transferencias (por ejemplo, para lavado de dinero), sin mencionar la obvia razón de vaciado de cuentas.
¿Cómo lo obtienen?
Lamentablemente, los atacantes tienen una amplia gama de opciones para obtener nuestra información. Se valen de engaños (phishing, pharming), espían nuestras actividades (spyware) y, en algunos casos incluso nos atacan directamente (gusanos, virus) con tal de conseguir lo que buscan.
Por supuesto, esto solo describe una forma de obtener la información. Es muy probable que los atacantes decidan ir a lo grande, y busquen en algún lugar que contenga mucha información, por ejemplo, algún sitio web de ventas en línea. Las bases de datos de sitios de ventas en línea poseen una gran cantidad de información de una variedad de usuarios. Ya que hasta un 70% de las transacciones se pueden llevar a cabo con tarjetas de crédito, estos lugares pueden tratar de ser atacados.
¿Cómo podemos protegernos?
Las acciones preventivas son nuestra mejor arma a la hora de pelear contra estos maleantes de Internet. Es importante que tomemos responsabilidad acerca de nuestras actividades comerciales y financieras en línea, tal y como lo hacemos cuando entramos a una tienda o vamos al banco.
Además de las más comunes (memorizar nombres de usuario y contraseñas, no compartir estos datos con nadie, utilizar solo sitios seguros, etc.), existen algunas otras recomendaciones que podrían sernos de utilidad como se puede ver en la sección de Tips en este número.
Ya me pasó, ¿qué hago?
En caso de que nos encontremos ya en una situación de fraude electrónico es importante reportarlo lo más pronto posible a nuestra institución bancaria. La prontitud en nuestras acciones puede, en la mayoría de los casos, ser la diferencia para detener el problema y, posiblemente, capturar a los malhechores. Además, algunos bancos exigen prontitud para responder por los reclamos. Bancomer, por ejemplo, no acepta reclamos realizados más de dos días después del incidente.
En todo caso, es importante tener todos los datos del incidente, para poder realizar un reporte apropiado. Fechas, montos y tipo de movimientos son importantes indicadores, así como, por supuesto, los números de cuenta involucrados. Siempre se nos exigirá presentar documentación oficial que nos acredite como los titulares de la cuenta afectada, aunque los documentos solicitados varían según el caso.
Dentro de los problemas que se deben reportar se encuentran:
- Posibles accesos no autorizados a nuestra cuenta.
- Movimientos irregulares.
- Cargos no autorizados.
- Pérdida de contraseña.
- Pérdida de token.
Sin embargo, es necesario tener presente que la mejor manera de combatir este tipo de problemas es prevenirlos.
