Recomendaciones de Seguridad Digital en WhatsApp

Introducción

Seguro has escuchado de los «hackeos» de cuentas de WhatsApp: estos son accesos no autorizados que pueden vulnerarte al tomar el control de tu información personal. Para ayudarte a protegerte, creamos esta guía con recomendaciones para mejorar la seguridad digital al utilizar WhatsApp. Explicaremos las posibles amenazas a las que se expone una cuenta de WhatsApp, las recomendaciones preventivas ante estas amenazas, y algunas recomendaciones en caso de que una cuenta haya sido robada o comprometida.

¿Qué datos se vinculan a tu cuenta de WhatsApp?

Para entender las potenciales amenazas, es importante hacernos las siguientes preguntas: ¿qué datos personales le proporcioné a WhatsApp a la hora de crear mi cuenta? ¿Y cuáles son los permisos necesarios para su funcionamiento?

Los datos de usuario en los que nos enfocamos por ahora son:

  • Número de teléfono celular
  • Nombre o pseudónimo
  • Foto de perfil
  • Información o descripción (similar a un estado fijo en tu perfil)
  • Respaldo de chats (si se encuentra habilitado)
  • Estados que publicas para que otros contactos los vean

Y los permisos que solicita la aplicación son:

  • Acceso a contactos
  • Acceso a micrófono
  • Acceso a cámara
  • Acceso a Internet
  • Acceso a servicios de localización
  • Acceso a archivos
  • Acceso a SMS (mensajería)
  • Acceso a servicios de llamadas

Destacamos estos datos ya que estos son los que pueden llegar a utilizarse en algún ataque o amenaza a una cuenta. (Si quieres conocer la lista completa de datos que WhatsApp recopila de una cuenta, puedes leer su Política de Privacidad.)

¿Cuáles son las amenazas a las que se encuentra expuesta una cuenta de WhatsApp?

Suplantación de identidad

La suplantación de identidad consiste en que alguien se haga pasar por una persona o entidad de manera maliciosa. Esto se puede lograr mediante la creación de perfiles falsos o contenidos en las redes sociales en nombre de alguien más sin necesidad de acceder a cuentas personales u oficiales.

Para el caso de WhatsApp la suplantación de identidad puede suceder cuando una cuenta utiliza el nombre, foto y estado de otra persona, haciéndose pasar por esta. 

Una suplantación de identidad no representa un acceso a la cuenta, generalmente se debe a que los datos utilizados estaban configurados para ser visibles a todo público.

Acceso no autorizado

El acceso no autorizado, como su nombre lo indica, representa un acceso a la cuenta que no es legítimo o autorizado por la persona dueña de esta. En el caso de WhatsApp, estas son algunas de las formas más comunes de acceso no autorizado:

Acceso físico al dispositivo

Si el dispositivo y la aplicación no cuentan con un código de bloqueo, es posible que cualquier persona pueda tomar el celular e interactuar con los chats, así como iniciar una nueva sesión de WhatsApp Web en una computadora, u obtener el código de verificación que llega al iniciar sesión en un teléfono celular.

Phishing

El phishing es una técnica que se basa en suplantar o falsificar información para incitar a la persona a realizar una acción, como dar clic a un enlace, compartir contraseñas o abrir un archivo infectado.

En el caso de WhatsApp podemos encontrar distintas formas de presentación del phishing.

  • Cuentas que se hacen pasar por el soporte técnico de WhatsApp y solicitan un código enviado por SMS
  • Personas “conocidas” que escriben desde otro número telefónico solicitando un código que llega por SMS
  • Invitaciones para descargar “respaldos de chats”

Como se puede observar, el principal objetivo es engañar a la persona usuaria para que entregue los códigos que llegan por SMS, o que habilite algún tipo de autorización para acceder a la cuenta.

Robo de línea telefónica

Los robos de línea telefónica buscan adueñarse de un número telefónico, esto puede ser mediante estafas o SIM Swapping, en donde mediante el robo de datos personales, suplantación de identidad, o corrupción por empleados de las operadoras móviles, pueden migrar la línea telefónica a una SIM nueva. Esta SIM se utiliza en un dispositivo distintos, en donde se registra la cuenta de WhatsApp y se recibe el SMS con el código de acceso.

Intervención de dispositivos móviles

Las intervenciones son unos de los ataques más elaborados, ya que requieren un nivel técnico elevado por parte del atacante. Usualmente estas intervenciones van dirigidas a un grupo reducido de personas.

Las intervenciones de dispositivos requieren el uso de algún malware especializado, y estas no vulneran directamente a la aplicación de WhatsApp, sino a todo el dispositivo, por lo que tienen acceso directo a la aplicación. Los malwares más comunes con estas funciones son los spyware y los stalkerware. El software espía más avanzado al día de hoy es Pegasus. Los alcances de estas infecciones o intervenciones dependen de la capacidad del malware y de los permisos que puedan llegar a tener en el dispositivo.

¿Cómo se pueden prevenir estas amenazas?

Estas son algunas recomendaciones de seguridad para proteger una cuenta de WhatsApp, para detalles específicos puedes consultar la ayuda de WhatsApp o escribirnos en @socialtic en redes sociales o a seguridad@socialtic.org.

¡Verificación en dos pasos!

La verificación en dos pasos es una función opcional que añade un nivel extra de seguridad a una cuenta de WhatsApp. Esta consiste en agregar una contraseña o PIN que se debe introducir cuando se registra una cuenta en un dispositivo nuevo. Al habilitar esta medida se tiene la opción de ingresar una dirección de correo electrónico que permite a WhatsApp enviar un enlace para restablecer el PIN por correo electrónico en caso de olvidarlo. 

Consulta este artículo del centro de ayuda de WhatsApp para conocer más acerca de la verificación en dos pasos, o revisa este recurso de acá para ver cómo activarla.

Códigos de verificación

Al intentar iniciar sesión en WhatsApp con un número de teléfono se enviará una notificación con un código de verificación mediante un SMS. En caso de recibir un código de estos sin haberlo solicitado, no lo compartas con nadie, pues alguien podría estar intentando acceder a tu cuenta. Consulta más información en este enlace de ayuda de WhatsApp.

Modificar ajustes de privacidad

Te recomendamos configurar tu foto de perfil, nombre, descripción y estados para que sean visibles únicamente por tus contactos, así solo las personas que conoces pueden ver esta información y puedes evitar intentos de suplantación de identidad por personas desconocidas. Sigue estos pasos para cambiar los ajustes de privacidad de tu cuenta.

Activar mecanismo de acceso a la aplicación

En caso de que lo requieras, es posible añadir un código o huella para abrir la aplicación, de esta forma si alguien tiene acceso físico a tu dispositivo aún necesitará conocer el código de la aplicación o utilizar tu huella para acceder.

¡Cuidado con mensajes o llamadas sospechosas!

Cuando se trata de mensajes o llamadas sospechosas, o de números desconocidos, te recomendamos verificarlos antes de compartir o responder con información personal, privada o que esté vinculada al acceso de tu cuenta como son los códigos que llegan por SMS o de la verificación en dos pasos. Tambien te recomendamos activar el PIN de acceso remoto en tu buzón de voz, ya que en algunos buzones es posible acceder desde otro dispositivo para obtener el código de acceso a la aplicación que puede ser dejado como mensaje de voz. Para esto puedes buscar ayuda con tu empresa proveedora de telefonia.

Revisa sesiones abiertas en otros dispositivos

Asegúrate de revisar constantemente las sesiones que has abierto en otros dispositivos o en WhatsApp Web. Si detectas un dispositivo que no reconoces o una sesión que no es tuya, cierrala inmediatamente

Mantén tu dispositivo móvil y aplicaciones actualizadas 

Al estar al día con las actualizaciones nos aseguramos de corregir errores críticos en el sistema operativo o en las aplicaciones como WhatsApp. Estos errores pueden ser utilizados por atacantes para realizar alguna actividad como la intervención de dispositivos mediante malware o phishing.

¿Qué hacer si han robado una cuenta de WhatsApp?

Si sospechas o sabes que una cuenta ha sido comprometida te recomendamos seguir los siguientes pasos, que son listados en el centro de ayuda de WhatsApp en este enlace:

  • Si sospechas que tu cuenta está siendo usada por alguien más te recomendamos notificar a tus familiares y amigos, ya que esa persona podría hacerse pasar por ti en tus chats individuales y grupales.
  • Si tu cuenta ha sido robada inicia sesión nuevamente e ingresa el código de verificación, luego, activa la autenticación en dos pasos.
  • Si no es posible iniciar sesión nuevamente porque la autenticación en dos pasos fue activada por la/el atacante tendrás que esperar 7 días para poder acceder sin el código de verificación en dos pasos.

Si aún tienes dudas de cómo proceder puedes enviar un correo electrónico a support@whatsapp.com con tu número telefónico y detalle de qué pasó.Recuerda que WhatsApp cuenta con una sección dedicada a este tema, por lo que te recomendamos revisarla también.

Algunas consideraciones adicionales

  • En caso de que alguien acceda a tu cuenta, no podrá ver tus mensajes anteriores, ya que estos se encuentran en tu dispositivo móvil, no en el de la otra persona.
  • De igual manera sucede con los respaldos, estos se encuentran vinculados a tu cuenta de Google o iCloud, por lo que para tener acceso a ellos es necesario a su vez acceder a la cuenta de Google o iCloud en cuestión.
  • Los respaldos de tus chats no se almacenan de manera cifrada. Puedes ir a la opción de respaldos en la app y activar el cifrado de estos. Para esto tendrás que ingresar una contraseña de cifrado que deberás proporcionar la próxima vez que restaures tu cuenta en otro dispositivo. Así evitarás que puedan acceder a tus respaldos de WhatsApp en caso de robo de tu cuenta de Google o iCloud.
  • Recuerda mantener una higiene adecuada en tus chats. Puedes activar los mensajes temporales para que tus conversaciones se borren después de 7 días, o desactivar la descarga automática de archivos multimedia en tu dispositivo, además evitarás saturar el almacenamiento de tu dispositivo móvil.

Fuente Protege.LA: Recomendaciones de Seguridad Digital en WhatsApp | Protege.LA

“LIQUIDACIÓN POR FACTORIZACIÓN DE CRÉDITOS” NUEVA SUPLANTACIÓN POR EMAIL DEL BBVA INSTALA MALWARE

La suplantación de entidades bancarias con un fuerte reconocimiento de marca entre los usuarios, como es el caso del BBVA, es algo que los delincuentes no dejan de aprovechar a la hora de preparar sus campañas de propagación de amenazas. Entre esas amenazas se encuentran aquellas que están dirigida a robar información (especialmente credenciales de acceso a todo tipo de servicios) de los equipos infectados, una tendencia que ha aumentado considerablemente en España en los últimos dos años.

Un sospechoso correo del BBVA

Mediante el envío de un correo con una plantilla que ya hemos visto anteriormente en campañas similares y que trata de suplantar la identidad del BBVA, los delincuentes pretenden engañar al usuario que lo reciba para que descargue y abra el archivo adjunto. En esta ocasión, se ha usado como gancho el supuesto ingreso en la cuenta del usuario de un supuesto anticipo, aunque el asunto del mensaje no queda muy claro y además contiene errores a la hora de escribir caracteres con acentos.

El remitente del mensaje podría parecer legítimo a ojos de un usuario que no se fijase demasiado, pero estamos ante un nuevo caso de spoofing o suplantación de identidad, y la dirección real desde la que se envía ese mensaje poco tiene que ver con los correos legítimos que utiliza esta entidad bancaria para ponerse en contacto con sus clientes.

Revisando el archivo infectado

Suponiendo que algún usuario receptor de este mensaje cayera en la trampa y descargase el archivo adjunto, se encontraría ante un fichero comprimido en formato RAR. Si procede a descomprimirlo, veremos como en su interior se encuentra un archivo ejecutable, responsable de infectar el sistema de la víctima.

Hay que destacar que los delincuentes detrás de esta campaña no han sido nada discretos a la hora de intentar camuflar sus intenciones. No es solo que el archivo comprimido contenga un ejecutable que no trata en ningún momento de ocultar su extensión real, sino que, cuando se ejecuta, deja rastro de su actividad. Dos ejemplos claros son la creación de un icono en el escritorio del sistema y el intento de desactivación del cortafuegos de Windows, algo que genera una alerta del sistema y puede hacer pensar al usuario que puede estar sucediendo algo peligroso.

En esta ocasión nos encontramos ante un nuevo caso de utilización de GuLoader, amenaza que suele ser muy utilizada en campañas de este tipo para desplegar toda clase de malware en los sistemas comprometidos, aunque suele usarse especialmente en aquellas campañas pensadas para robar credenciales almacenadas en aplicaciones de uso habitual en empresas, como las protagonizadas por Agent Tesla y Formbook. En este caso, las soluciones de ESET detectan esta amenaza como el troyano NSIS/Injector.ASH.

Además, podemos incluso ver desde dónde se descarga esta muestra de GuLoader, el payload que tienen definido para esta campaña. Observamos que los delincuentes han optado por el camino fácil y lo han almacenado en Google Drive. Esto les facilita las cosas pero también hace que esta muestra de malware no dure mucho tiempo, ya que Google suele retirar el malware almacenado en sus servicios relativamente rápido.

No obstante, el tiempo que pueda estar descargándose esta amenaza desde esa ubicación es más que suficiente para tratar de infectar a un número de usuarios que los delincuentes detrás de esta campaña consideran adecuado. De hecho, al realizar el análisis aún hemos podido descargar el fichero al que se apuntaba desde el enlace.

Este esquema de ejecución viene repitiéndose en varias ocasiones desde hace meses, usando el nombre de entidades bancarias o incluso enviando los mensajes desde cuentas de correo pertenecientes a empresas que han sido previamente comprometidas. El constante envío de este tipo de correos y la poca innovación en las técnicas usadas por los delincuentes demuestran que todavía están obteniendo un número lo suficientemente elevado de víctimas como para no esforzarse demasiado en realizar cambios.

El peligro real viene dado por las posibilidades que estas credenciales robadas ofrecen a otros atacantes que las utilizan en su acceso inicial a redes corporativas. Una vez consiguen acceder a la red, son capaces de realizar movimientos laterales por todos los equipos que la conforman, tomar el control de equipos críticos como servidores de correos, ficheros o controladores de dominio, robar información confidencial e incluso cifrarla para pedir un rescate.

Conclusión

Seguimos viendo que los delincuentes utilizan ganchos, plantillas y técnicas ya observadas con anterioridad sin realizar demasiados cambios. Esto demuestra que aún queda mucho por hacer en materia de seguridad y concienciación, especialmente en el entorno de las pymes españolas, que son las que más sufren ataques de este tipo y las que más vulnerables son.

Fuente Protegerse: “Liquidación por Factorización de Créditos” nueva suplantación por email del BBVA instala malware – Protegerse. Blog del laboratorio de Ontinet.com

Día de la Madre: cuidado al comprar el regalo por internet

Un 76% de usuarios afirman que en este 2022 comprarán el regalo para el Día de la Madre por internet, a pesar de que no existen ya restricciones. Para que la compra sea segura es necesario llevar a cabo una serie de acciones que eviten caer en estafas.

Se acerca el momento de homenajear a nuestras madres con la celebración de su día y muchos son los usuarios que compran un obsequio para regalarla. Por falta de tiempo o por buscar exactamente un regalo personalizado, se opta en muchas ocasiones por comprar online estos regalos para el Día de la Madre, pero ¡ojo!, existen estafas que se producen también a la hora de comprar estos regalos.

Un 76% de usuarios afirman que comprarán por internet el regalo del Día de la Madre. A pesar de que ya no existen restricciones en tiendas tras la pandemia, los españoles nos hemos acomodado y preferimos hacer la compra a través de internet. Pero para que sea una compra segura, te mostramos una serie de consejos para tener en cuenta antes de que realices tus pedidos en la web.

Cuidado con las webs falsas

A veces el producto estrella, su precio o la rapidez con la que hacemos las compras puede derivar en entrar en un sitio web falso que está especialmente diseñado como tienda virtual para engañar a compradores despistados. Para no caer en estos sitios web te recomendamos ver si la URL del sitio empieza con https:// y también desconfiar si los precios son muy baratos relacionados con la calidad del producto.

Infórmate sobre la tienda virtual

Relacionado con el apartado anterior, si la tienda virtual no es muy conocida, lo mejor es que te informes antes de comprar. Una web de comercio online fiable tiene publicado su nombre, logo, dirección fiscal, teléfono, ubicación y correo electrónico. Asimismo, fíjate también que aparezca el sello de seguridad electrónica en alguna de sus páginas y también busca la página de “Términos y Condiciones” de compras, envíos, devoluciones y cancelaciones.

Verifica el tiempo de entrega

Si vas a hacer la compra un poco apurado en lo que a tiempo se refiere, asegúrate bien del tiempo de entrega del producto. En webs de artículos que tienen mucha demanda puede suceder que las entregas se retrasen unos días. Para evitarlo, busca sitios web que usen un sistema de envío y mensajería confiable y sobre todo que tengan tecnología de rastreo del pedido para que sepas exactamente cuando lo recibirás.

Ten en cuenta las opciones de pago

A la hora de hacer el pago del regalo para el Día de la Madre, ten en cuenta las opciones que te dan. Si tienen métodos como PayPal, úsalos porque tienen un nivel de seguridad bastante alto. Otras opciones como, por ejemplo, MoneyGram cuenta con niveles de protección muy bajos, siendo difícil recuperar el dinero si se trata de una estafa. Si en la plataforma existe solo un método de pago, debes desconfiar porque en la actualidad la mayoría de las webs de compras ofrecen varios métodos.

Usa webs de compra que permitan devoluciones o reembolsos

Antes de llevar a cabo la compra infórmate dentro del sitio web si tiene políticas sobre devoluciones o reembolsos. Si por cualquier razón el producto no se ajusta a lo que esperabas o está dañado, verifica que puedes devolverlo. En lo que se refiere a reembolsos, son importantes en el caso de que el pedido se pierda por el camino para que te devuelvan el dinero de la compra.

Compara precios en diferentes tiendas online

Si tienes claro cuál va a ser el regalo que vas a comprar para tu madre, lo mejor es que compares precios en diferentes tiendas online. Si encuentras el producto demasiado barato no te fíes del todo. Compara más o menos el rango de precios en el que lo ofertan también grandes superficies comerciales.

DETECTADOS NUEVOS CORREOS QUE SUPLANTAN A LA AGENCIA TRIBUTARIA Y ADJUNTAN FICHEROS INFECTADOS

DETECTADOS NUEVOS CORREOS QUE SUPLANTAN A LA AGENCIA TRIBUTARIA Y ADJUNTAN FICHEROS INFECTADOS

Una de las campañas recurrentes que los delincuentes vienen realizando desde hace años es la que aprovecha la campaña de la renta para suplantar a la Agencia Tributaria española. No obstante, estas campañas han ido evolucionando con el tiempo, y si hace unos años solo las encontrábamos durante los meses en los que estaba activa la campaña de la renta, ahora no es extraño detectar correos con este tipo de suplantación durante el resto del año.

Correo con adjunto infectado

A lo largo de los años hemos ido viendo como los delincuentes han ido empleando diferentes técnicas para, aprovechándose del nombre de la Agencia Tributaria, tratar de engañar a los usuarios para que pulsen sobre un enlace o abran un adjunto malicioso, usando varios tipos de formato de ficheros. Precisamente, desde hace unas semanas estamos viendo que han vuelto a resurgir este tipo de campañas, tal y como alertó recientemente la Oficina de Seguridad del Internauta.

En los últimos días, y más concretamente en la madrugada de este domingo al lunes, se ha usado en especial la siguiente plantilla contra usuarios españoles, un correo donde supuestamente se nos adjunta información relacionada con el fraccionamiento del pago de la declaración de la renta.

Esta plantilla de correo coincide con la que mostraron hace unos días desde la propia Agencia Tributaria en la web que dedican para alertar a los ciudadanos de este tipo de fraudes. En esa web se mantiene un listado actualizado de los correos más recientes que utilizan los delincuentes para tratar de conseguir nuevas víctimas, por lo que recomendamos visitarla periódicamente.

Un usuario avispado puede ser capaz de sospechar de un correo como este, pero si nos fijamos tanto en el remitente del mensaje como en el cuerpo del mismo, observaremos que como remitente aparece una dirección aparentemente relacionada con la Agencia Tributaria y el cuerpo del mensaje se encuentra correctamente redactado, algo que puede hacer que algunos usuarios se confíen y caigan en la trampa.

Revisando y detectando la amenaza

A pesar de que los delincuentes han tratado de hacer pasar por legítimo su correo, es posible detectar la suplantación revisando, por ejemplo, la cabecera del correo. Ahí podemos observar que, por mucho que se intenten hace pasar por la Agencia Tributaria, el remitente original no tiene nada que ver con la administración pública española.

De hecho, tirando del hilo podemos llegar al servicio de webmail mal configurado que los delincuentes han estado aprovechando para lanzar, al menos, esta última oleada de correos fraudulentos. No obstante, el detalle más importante en el que deben fijarse los usuarios que reciban un correo de este tipo es el fichero adjunto. Las muestras recibidas en nuestro laboratorio han sido analizadas y eliminadas por el antivirus, aunque podemos ver que el fichero comprimido en formato RAR contenía un archivo ejecutable que es el responsable de ejecutar el código malicioso preparado por los delincuentes.

Esta estrategia es muy utilizada cuando se quiere infectar a la víctima con algún tipo de infostealer para así robar información privada como credenciales de acceso a servicios online de todo tipo, ya sean de uso personal como corporativo. Por ese motivo debemos ir con mucho cuidado a la hora de abrir ficheros adjuntos enviados por email, desconfiando especialmente de aquellos que no hayamos solicitado aunque el remitente nos parezca de confianza.

Tampoco debemos olvidar que, en los últimos años, la Agencia Tributaria ha sido usada como gancho para propagar varios tipos de amenazas, por lo que cualquier comunicación que recibamos haciéndose pasar por ella, deberíamos ponerla en cuarentena hasta que confirmemos que se trata de un correo legítimo.

Conclusión

A pesar de ser una suplantación habitual por estas fechas, los delincuentes confían en que sigan cayendo muchos usuarios en su trampa, y por eso preparan estas campañas de forma periódica. Por ese motivo es importante aprender a reconocer estos emails maliciosos y contar con una solución de seguridad que sea capaz de detectar y eliminar las amenazas que suelen adjuntar.

Fuente Protegerse: Detectados nuevos correos que suplantan a la Agencia Tributaria y adjuntan ficheros infectados – Protegerse. Blog del laboratorio de Ontinet.com

Suplantan a la DGT con la excusa de una multa no pagada

Se ha detectado una campaña fraudulenta a través del correo electrónico (phishing) suplantando a la Dirección General de Tráfico (DGT). El mensaje contiene un enlace a una supuesta notificación que descarga malware en el dispositivo.

Recursos afectados

Cualquier usuario que haya recibido un correo electrónico de estas características, haya pulsado sobre el enlace para consultar el supuesto archivo, y posteriormente haya abierto el fichero que se descarga.

Solución

Si has descargado y ejecutado el archivo malicioso, es posible que tu dispositivo se haya infectado. Para proteger tu equipo, debes escanearlo con un antivirus actualizado o seguir los pasos que encontrarás en la sección desinfección de dispositivos. Si necesitas soporte o asistencia para la eliminación del malware, INCIBE te ofrece su servicio de respuesta y soporte ante incidentes de seguridad.

Si no has ejecutado el archivo descargado, posiblemente tu dispositivo no se habrá infectado. Lo único que debes hacer es eliminar el archivo que encontrarás en la carpeta de descargas. También deberás enviar a la papelera el correo que has recibido.

En caso de duda sobre la legitimidad del correo, no pulses sobre ningún enlace y ponte en contacto con la empresa o el servicio que supuestamente te ha enviado el correo, siempre a través de sus canales oficiales de atención al cliente. En este caso la DGT ofrece un número de teléfono de atención al ciudadano, 060.

Recuerda que, para mayor seguridad, es recomendable realizar copias de seguridad de manera periódica con toda la información que consideres importante para que, en caso de que tu equipo se vea afectado por algún incidente de seguridad, no la pierdas. También es recomendable mantener tus dispositivos actualizados y protegidos siempre con un antivirus.

Finalmente, aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con los siguientes recursos que ponemos a tu disposición:

Detalles

Se ha detectado una campaña de correos electrónicos suplantando a la Dirección General de Tráfico (DGT) que contiene un enlace que, al pulsar sobre él, descarga malware (un fichero malicioso) en el dispositivo.

Los correos identificados contienen el siguiente asunto para provocar el interés del usuario ‘Bloqueo del Vehiculo – Multa no pagada’, aunque no se descarta que existan otros correos con asuntos diferentes, pero con el mismo objetivo: incitar al usuario a descargar un fichero bajo algún pretexto de su interés, utilizando para ello técnicas de ingeniería social.

El mensaje del correo se caracteriza por:

  • El remitente se identifica como el Ministerio del Interior.
  • Contener imágenes de logotipos oficiales que intentan dar más credibilidad al correo.
  • Facilitar un enlace que simula pertenecer la sede electrónica de la DGT, pero que al pulsar sobre él, redirige a un domino que descarga el malware.
  • Usar un dominio en el correo electrónico del remitente (la parte que va después del @) que simula pertenecer al dominio oficial de la DGT. Debemos recordar que el correo electrónico es bastante sencillo de falsificar.
Email falso DGT

Si se pulsa sobre la imagen que esconde el enlace fraudulento (Acceso Sede Electrónica), se descargará automáticamente desde el navegador web en el dispositivo un archivo .zip que contiene malware.

Fuente OSI: Suplantan a la DGT con la excusa de una multa no pagada | Oficina de Seguridad del Internauta (osi.es)

Cuidado con la web que suplanta a Correos y afirma que puedes ganar un paquete que no ha sido recogido por 1,95 euros: es ‘phishing’

Un post de Facebook afirma que Correos está organizando un evento benéfico para vender los paquetes que no han sido recogidos por los destinatarios a 1,95 euros. Nos habéis preguntado por esta publicación a través del servicio de WhatsApp de Maldita.es (+34 644 229 319). Sin embargo, se trata de un caso de phishing, los timadores suplantan a Correos para hacerse con tus datos personales, como los de tu tarjeta bancaria.

Cómo te la intentan colar

Para empezar, la página de Facebook que publica el post no es la oficial de Correos en esta red social (https://www.facebook.com/correos.es). Fue creada recientemente, el pasado 28 de marzo:

'Phising'.
‘La página fraudulenta en Facebook se creó en 2022.

La web a la que dirige el enlace que adjunta el post (https://sequincf.info/photo/1127150/correos…) no es la web de Correos (https://www.correos.es/es/es/particulares). Cuando entramos en ella, nos dicen que podemos conseguir un teléfono o un electrodoméstico gracias a la supuesta campaña benéfica de Correos. Para ello, primero tenemos que responder a un cuestionario:

Cuestionario fraudulento.
Cuestionario fraudulento.

Después de que la web «compruebe» que nuestras respuestas son correctas, participamos en un juego en el que tenemos que ir abriendo cajas y ganamos al tercer intento. Supuestamente, sólo tenemos dos minutos para «confirmar nuestros datos» y que nos envíen nuestro paquete de Correos:

Los supuestos premios
Los supuestos premios

Si le damos al botón de ‘Ok’, nos lleva a otra web (https://24-7dailydeals.com/…) que tampoco es la de Correos. Aquí nos piden datos personales (nombre, apellido, teléfono y correo electrónico). Si los introducimos, después nos solicitan los datos de nuestra tarjeta bancaria.

Thank you for watching

Solicitan datos personales y bancarios.
Solicitan datos personales y bancarios.

Qué ocurre si caemos en el engaño

Si nos vamos al final de esta página, podemos ver que lo que estamos haciendo al introducir los datos de nuestra tarjeta es inscribirnos en una suscripción:

Suscripción
Suscripción

Ángela, una lectora de Maldita.es, ha sido víctima de este timo: «Al ver la cuenta de ‘Correos España’ y los comentarios no me di cuenta del bulo». Según nos indica, tras introducir los datos de su tarjeta le realizaron un cargo de 1,5€ y le llegó un correo de la página allclothes.club informándole de que se había dado de alta en una suscripción.

Entonces, Ángela se puso en contacto con la página para cancelar la suscripción, como podemos leer en los correos que ha mandado a Maldita.es:

El dinero no es reembolsable
Correos enviados.

Aunque sí le han dado de baja de la suscripción, no le han devuelto el importe cobrado. Desde la página le indican que no pueden anular la tarifa que se ha cobrado y que los 1,5€ no son reembolsables:

El importe no es reembolsable.
El importe no es reembolsable.

Además, no encontramos referencias a la supuesta “campaña benéfica” en la web de Correos, ni en su perfil de Twitter o de Facebook. Desde esta entidad recomiendan que, ante una comunicación sospechosa, no facilitemos datos personales, bancarios o contraseñas.

Fuente 20 Minutos: Cuidado con la web que suplanta a Correos y afirma que puedes ganar un paquete que no ha sido recogido por 1,95 euros: es ‘phishing’ (20minutos.es)

Suplantan a la DGT con la excusa de una multa no pagada

Se ha detectado una campaña fraudulenta a través del correo electrónico (phishing) suplantando a la Dirección General de Tráfico (DGT). El mensaje contiene un enlace a una supuesta notificación que descarga malware en el dispositivo.

Recursos afectados

Cualquier usuario que haya recibido un correo electrónico de estas características, haya pulsado sobre el enlace para consultar el supuesto archivo, y posteriormente haya abierto el fichero que se descarga.

Solución

Si has descargado y ejecutado el archivo malicioso, es posible que tu dispositivo se haya infectado. Para proteger tu equipo, debes escanearlo con un antivirus actualizado o seguir los pasos que encontrarás en la sección desinfección de dispositivos. Si necesitas soporte o asistencia para la eliminación del malware, INCIBE te ofrece su servicio de respuesta y soporte ante incidentes de seguridad.

Si no has ejecutado el archivo descargado, posiblemente tu dispositivo no se habrá infectado. Lo único que debes hacer es eliminar el archivo que encontrarás en la carpeta de descargas. También deberás enviar a la papelera el correo que has recibido.

En caso de duda sobre la legitimidad del correo, no pulses sobre ningún enlace y ponte en contacto con la empresa o el servicio que supuestamente te ha enviado el correo, siempre a través de sus canales oficiales de atención al cliente. En este caso la DGT ofrece un número de teléfono de atención al ciudadano, 060.

Recuerda que, para mayor seguridad, es recomendable realizar copias de seguridad de manera periódica con toda la información que consideres importante para que, en caso de que tu equipo se vea afectado por algún incidente de seguridad, no la pierdas. También es recomendable mantener tus dispositivos actualizados y protegidos siempre con un antivirus.

Finalmente, aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con los siguientes recursos que ponemos a tu disposición:

Detalles

Se ha detectado una campaña de correos electrónicos suplantando a la Dirección General de Tráfico (DGT) que contiene un enlace que, al pulsar sobre él, descarga malware (un fichero malicioso) en el dispositivo.

Los correos identificados contienen el siguiente asunto para provocar el interés del usuario ‘Bloqueo del Vehiculo – Multa no pagada’, aunque no se descarta que existan otros correos con asuntos diferentes, pero con el mismo objetivo: incitar al usuario a descargar un fichero bajo algún pretexto de su interés, utilizando para ello técnicas de ingeniería social.

El mensaje del correo se caracteriza por:

  • El remitente se identifica como el Ministerio del Interior.
  • Contener imágenes de logotipos oficiales que intentan dar más credibilidad al correo.
  • Facilitar un enlace que simula pertenecer la sede electrónica de la DGT, pero que al pulsar sobre él, redirige a un domino que descarga el malware.
  • Usar un dominio en el correo electrónico del remitente (la parte que va después del @) que simula pertenecer al dominio oficial de la DGT. Debemos recordar que el correo electrónico es bastante sencillo de falsificar.
Email falso DGT

Si se pulsa sobre la imagen que esconde el enlace fraudulento (Acceso Sede Electrónica), se descargará automáticamente desde el navegador web en el dispositivo un archivo .zip que contiene malware.

Fuente OSI: Suplantan a la DGT con la excusa de una multa no pagada | Oficina de Seguridad del Internauta (osi.es)

Protege la privacidad de tus hijos y cubre sus cámaras web

Haz un uso prudente de las cámaras web

Ordenadores portátiles, smartphones y tablets: la mayoría de los dispositivos inteligentes de hoy en día vienen con una cámara integrada. Gracias a los avances tecnológicos, no importa si tu amigo vive al final de la calle o en la otra punta del mundo, tu cámara web te permite tener una charla “casi” cara a cara en cualquier momento.

Las videollamadas, los selfies, el vlogging y las pequeñas lentes de nuestros teléfonos y ordenadores hacen que estar en contacto sea de lo más fácil, una libertad que disfrutan especialmente los niños y los adolescentes. Pero no solo las relaciones humanas se benefician de esta tecnología: los delincuentes se han aprovechado rápidamente de lo que puede ser un mal uso de los dispositivos de espionaje convenientemente colocados en las mesas de sus víctimas o llevados en sus bolsillos a todas partes.

Y así, lo que antes podía parecer una paranoia, hoy resulta perfectamente razonable: hace unos años, cuando Mark Zuckerberg fue fotografiado con su ordenador portátil de fondo con la cámara web tapada, nadie pensó que estaba exagerando.

Por el contrario, se aconseja un uso prudente de las cámaras web, ya que cualquier dispositivo conectado es un objetivo potencial para los atacantes. Utilizando un código malicioso, los delincuentes pueden intentar piratear el dispositivo elegido y utilizar tu cámara o micrófono para sus propios fines.

De este modo, los atacantes pueden encender y apagar la cámara sin que las víctimas lo sepan, espiando los aspectos más íntimos de sus vidas. Las motivaciones varían: algunos encuentran excitante la idea de vigilar a alguien en secreto, otros pretenden extorsionar a sus víctimas. Si la víctima no hace o no paga lo que sus espías exigen, se publican en Internet vídeos o fotos suyas.

Seguro que el concepto por sí solo produce escalofríos, incluso sin imaginar que los atacantes podrían intentar aprovecharse de los niños. Como padre precavido, esto es lo que puedes hacer para ayudar:

  • Enseña a tus hijos a tapar la cámara web cuando no la utilicen. De este modo, aunque la pirateen, será prácticamente inútil para los delincuentes.
  • Asegúrate de que la configuración por defecto de las cámaras web de tus hijos es «off».
  • Utiliza una solución de seguridad de Internet fiable y actualizada, capaz de proteger las cámaras web a nivel de software.
  • Asegúrate de que tus hijos no pongan las cámaras web o los dispositivos inteligentes con cámaras en lugares donde puedan ser mal utilizados para grabar situaciones íntimas.
  • Educa a tus hijos para que no hagan nada delante de una cámara web descubierta que no harían si alguien estuviera mirando.
  • Da un buen ejemplo a tus hijos aplicando las mismas normas a ti mismo: comprueba todas las cámaras web de tu casa.

Fuente saferkidsonline.eset.com: https://saferkidsonline.eset.com/es/article/protege-la-privacidad-de-tus-hijos-y-cubre-sus-camaras-web

SMISHING, ¿POR QUÉ SIGUEN SIENDO TAN EFECTIVAS LAS AMENAZAS QUE USAN MENSAJES SMS?

Los vectores de ataque que utilizan los delincuentes para propagar sus amenazas pueden ser muy variados pero hay algunos que destacan sobre el resto por su efectividad. El correo electrónico sería uno de ellos a pesar de que lleva siendo usado de forma fraudulenta desde hace décadas, pero hay otro vector que, en pleno 2021, también está siendo usado para propagar varias amenazas con un notable éxito. Este no es otro que los mensajes SMS, y a continuación vamos a ver por qué resultan tan efectivos.

Caída y auge de los SMS

¿Recuerdas la última vez que enviaste un mensaje SMS a un amigo, familiar o compañero de trabajo? Salvo por causa mayor, es raro que sigamos usando este tipo de mensajería tan popular a finales de los 90 y durante buena parte de la primera década de los 2000. Su finalidad principal, la de enviar mensajes entre usuarios fue sustituida por aplicaciones de mensajería instantánea como WhatsApp, y, a pesar de que las operadoras incluyeron el envío de mensajes SMS entre sus ofertas, los usuarios los abandonaron por las otras alternativas existentes que tenían muchas más funcionalidades.

Aun así, los mensajes SMS han seguido teniendo su nicho de mercado al ser utilizados por empresas de todo tipo para enviar alertas y promociones, e incluso en varios países se utilizan como sistema de alerta ante situaciones de emergencia provocadas por catástrofes naturales o de otra índole.

Sin embargo, para la mayoría de usuarios, la recepción más habitual actualmente de mensajes SMS suele estar relacionada con operaciones bancarias o seguimiento de pedidos realizados en comercios online. Esto es algo en lo que los delincuentes se han estado fijando desde hace tiempo, y, recientemente, han intensificado sus campañas de amenazas utilizando precisamente estos mensajes como vector de propagación.

De la misma forma que el phishing es la suplantación de identidad, normalmente mediante el envío de emails que redirigen a una web o a la descarga de un archivo malicioso, el SMiShing utiliza mensajes SMS para incluir enlaces que descargan aplicaciones maliciosas en nuestro dispositivo o nos redirigen a webs fraudulentas preparadas por los delincuentes.

Como ya hemos indicado, esta técnica tiene muchos años a sus espaldas, pero ha sido en los últimos meses donde ha experimentado un auge considerable tanto en España como en otros países. Varios han sido los usuarios afectados por este incremento en las amenazas propagadas por este medio, si nos atenemos al creciente número de consultas que hemos recibido desde hace ya meses, las cuales nos han permitido identificar campañas delictivas recurrentes y que han tenido un éxito considerable.

Campañas destacadas

Una de las campañas más destacadas de las últimas semanas es la que utiliza un mensaje SMS para proporcionarnos un enlace en el que, teóricamente, hay información sobre un envío que tenemos pendiente de recibir. Este mensaje dice provenir de Correos y se lanza de forma indiscriminada a los números de una importante cantidad de usuarios.

Este enlace pertenece a una URL que ha sido registrada previamente por los delincuentes y que tiene pocos días de antigüedad (en ocasiones, tan solo unas horas). Si el usuario accede a esa web con su dispositivo móvil Android suele encontrarse con una web diseñada para simular ser una página oficial de Correos, usando su nombre y logotipo, y desde allí se nos invita a descargar una aplicación para realizar el seguimiento. Además, se ofrecen instrucciones para instalar la aplicación desde orígenes desconocidos, ya que, por defecto, Android bloquea estas aplicaciones si no se descargan desde un mercado de apps oficial.

La aplicación descargada contiene en realidad un troyano bancario, por lo que si el usuario accede a la banca online desde su dispositivo Android, los delincuentes podrán robar las credenciales de acceso e interceptar los futuros mensajes SMS enviados como doble factor de autenticación, que permiten confirmar la realización de transferencias bancarias.

También puede darse el caso de que el mensaje enviado por SMS nos redirija a una web supuestamente pensada para hacer el seguimiento de nuestros envíos pero que, en realidad su finalidad sea la de robar los datos de nuestra tarjeta de crédito. Esto sería un caso más cercano al del phishing clásico que suele suplantar a entidades bancarias conocidas para tratar de robar los datos de acceso a ellas o, directamente los de la tarjeta de crédito.

En estos casos, vemos como los delincuentes utilizan el nombre de una entidad bancaria para alertarnos de algún problema en nuestra cuenta y generar así una sensación de apremio que consigue que muchos usuarios bajen la guardia y pulsen sobre el enlace para acceder a la web fraudulenta.

Este tipo de webs suelen parecerse bastante a las legítimas, y hace tiempo que los delincuentes empezaron a comprar certificados válidos para que también mostrasen el conocido candado para certificar que la conexión entre el sistema de la víctima y la web fraudulenta es seguro. Sin embargo, esto no significa que la web lo sea, tal y como han podido comprobar numerosos usuarios que han visto desaparecer importantes cantidades de dinero de sus cuentas bancarias.

Soluciones y medidas a adoptar

Ante el creciente número de ejemplos como los que hemos descrito en este artículo, los usuarios debemos ser muy conscientes de estas amenazas y aprender a reconocerlas, así como también adoptar medidas que nos ayuden a identificar y bloquearlas. La primera de esas medidas pasa por instalar una solución de seguridad tanto en nuestro ordenador como en nuestro dispositivo Android, para que nos ayude a detectar las webs fraudulentas y aplicaciones maliciosas que se descarguen de ellas.

Aun con esta solución de seguridad ya instalada, resulta muy importante aprender a identificar este tipo de amenazas para ahorrarnos más de un disgusto. Empezando por los enlaces que se proporcionan en estos mensajes SMS, podemos observar como muchos de ellos contienen palabras clave para que pensemos que están realmente relacionados con la empresa suplantada.

En caso de recibir este tipo de mensajes, lo mejor para despejar las posibles dudas es evitar pulsar sobre los enlaces que se adjuntan y acceder directamente a la web de la empresa que se menciona para realizar las consultas o trámites pertinentes. Si nos fijamos, por ejemplo, en la web utilizada para suplantar al BBVA y a la que se accedía tras pulsar en el enlace proporcionado por el SMS, vemos como la apariencia podría pasar por auténtica para muchos usuarios y, además, se incluye el ya mencionado candado de seguridad.

Sin embargo, al revisar la URL de esa web vemos como el dominio principal “giize[.]com” no parece tener mucha relación con la web legítima, lo que puede ser un claro indicativo de que estamos ante un caso de phishing. Lo podemos terminar de comprobar si accedemos a la web legítima introduciendo su URL en nuestro navegador.

Aquí ya podemos observar varias diferencias ya no solo en la dirección de la web, sino también en su diseño, algo que debería servirnos para confirmar que ese mensaje que hemos recibido es fraudulento. Lo mismo sucede con el caso de Correos, ya que si revisamos uno de los casos más recientes de phishing que suplantan a esta empresa comprobamos como aunque el diseño de la página parece bastante logrado y se cuenta con el candado de seguridad, el dominio usado no tiene nada que ver con el oficial.

Si accedemos a la web de Correos España, veremos como el diseño es diferente y el dominio hace referencia a la empresa. Hemos de tener en cuenta que los diseños se pueden llegar a copiar por parte de los delincuentes hasta hacerlos prácticamente indistinguibles a simple vista y, aunque esto no sea lo normal, ese es el principal motivo por el cual es muy recomendable acceder a cualquier tipo de web introduciendo su dirección en nuestro navegador en lugar de pulsar sobre un enlace recibido por SMS, email o cualquier otro medio.

Conclusión

El creciente número de casos de SMiShing que estamos observando durante los últimos meses indica que aún queda mucho por hacer en labor de concienciación. La mayoría de usuarios conoce o ha oído hablar del phishing por email, aunque todavía haya mucha gente que caiga en este tipo de trampas, pero el SMiShing parece que no ha tenido tanta difusión y, al ser este tipo de mensajes usados solamente para ciertas comunicaciones, es más fácil pensar que se tratan de mensajes legítimos y pulsar en los enlaces que se incluyen.

Especialmente vulnerables resultan aquellas personas de avanzada edad que no están acostumbradas a utilizar otros canales de comunicación y que son más susceptibles a caer en este tipo de trampas. Por ese motivo animamos a los lectores de este artículo a que conciencien a sus padres, madres y abuelos para evitar que los delincuentes se enriquezcan a su costa.

Enlace a la noticia: https://blogs.protegerse.com/2021/01/21/smishing-por-que-siguen-siendo-tan-efectivas-las-amenazas-que-usan-mensajes-sms/

Cómo realizar compras online seguras

Banner o imagen decorativa

Comprar online en la actualidad es totalmente seguro. Sólo tenemos que tomar algunas precauciones y optar por la forma de pago más adecuada en cada caso.

ALGUNOS CONSEJOS PRÁCTICOS:

  • Pon a punto tu dispositivo antes de comprar. Es recomendable tener instalado un antivirus para descartar posibles virus capaces de recopilar información personal y bancaria del dispositivo. Además, el software instalado en el dispositivo debe estar actualizado.
  • Utiliza una conexión segura. Evita comprar haciendo uso de redes wifi públicas, ya que no ofrecen ninguna garantía de seguridad.
  • Busca tiendas online cuya dirección empiece por HTTPS y muestren un candado en la barra de direcciones. Esto garantiza que la información que se transmite esté cifrada.
  • Revisa la información que proporciona la tienda online: quiénes son, dónde tienen domicilio fiscal, qué datos recopilan de los usuarios y con qué fin, formas de pago que permiten, política de envío y devolución.
  • Indaga sobre la tienda en buscadores, redes sociales y foros. Comprobar qué opiniones tienen otros usuarios sobre ella puede proporcionar mucha información.
  • Si tienes dudas sobre la fiabilidad de una tienda online, es mejor descartar la compra y buscar una alternativa.
En esta página encontrarás:Una historieta: «El día que Berto estuvo a punto de meter la pata con la tarjeta de crédito».Prepara los dispositivos y la conexión antes de comprarAspectos a revisar de la tiendaConocer métodos de pago y sus característicasOtras consideracionesTambién te puede interesar:Consejos para una compra seguraTipos de pago onlineAspectos a comprobar antes de hacer un pago online (vídeo)Qué es ese candado en la barra de direcciones (vídeo)Cómo comprobar certificado digital de una página web

Historieta: «El día que Berto estuvo a punto de meter la pata con la tarjeta de crédito»

Berto estaba contento porque se acercaba el buen tiempo. Le apetecía hacer un pequeño viaje con la familia para disfrutar del puente que estaba a la vuelta de la esquina.

No sabía si elegir campo o playa, así que decidió buscar opciones para ambos destinos y quedarse con el mejor precio. Después de recorrer todas las webs de viajes, se decantó por una oferta que había recibido por correo electrónico y cuyo precio era menos de la mitad de lo que había visto en otras páginas.

Cuando se disponía a escribir los números de la tarjeta de crédito para reservar el viaje apareció Eva:

– ¡Hola papá! ¿Qué haces?

– Navegando un poco.

– ¿Y esa tarjeta de crédito?

– Te lo cuento pero no se lo digas a nadie. He recibido este correo electrónico con una oferta increíble para irnos de vacaciones este puente. Sólo tengo que enviarles el dinero con MoneyGram y ellos se encargan de todo.

– Papá, eso que me cuentas suena muy raro. Deja la tarjeta y te explico unas cuantas cosas que hay que tener en cuenta antes de realizar una compra online…


Preparar los dispositivos y la conexión antes de comprar

Antes de realizar cualquier tipo de compra por Internet es necesario implementar unas medidas de seguridad de carácter más técnico. De poco sirve estar comprando en una tienda que cumple con todas las medidas de seguridad, si el problema está en nuestro equipo o la red donde estamos conectados. Por tanto aspectos básicos a tener en cuenta:

  • Es necesario instalar una herramienta antivirus. El antivirus protege el dispositivo de posibles infecciones que puedan afectar al dispositivo y por ende, a la privacidad y seguridad. Es importante saber que existen virus, que por ejemplo, son capaces de almacenar la secuencia de teclas que se pulsan en el teclado, de tal forma, que si se trata de un PIN/contraseña de un servicio importante, como puede ser de una tienda virtual, pueden acceder en tu nombre y recopilar toda la información asociada a dicha cuenta de usuario: nombre, apellidos, fecha de nacimiento, dirección postal, tarjeta de crédito, etc.
  • Los dispositivos y su software que estén siempre actualizados. Tanto el sistema operativo como los programas y aplicaciones instalados deben estar actualizados a su última versión para evitar que posibles vulnerabilidades puedan afectar la privacidad y seguridad en el proceso de compra. Los fallos de seguridad frecuentemente son utilizados por los ciberdelincuentes para colarse en los dispositivos de los usuarios a través de técnicas de ingeniería social.
  • Uso de conexión segura. Cuando se realice una compra, indistintamente de la tienda online, es importante hacerlo desde una red a Internet de confianza como puede ser la de nuestra casa o la conexión de Internet de móvil 3G/4G. Bajo ningún concepto se recomienda efectuar una compra desde una red wifi pública ya que cualquier usuario conectado a ella, podría espiar la comunicación con alguna herramienta y obtener nuestros datos personales y bancarios intercambiados con la tienda online si ésta no utiliza un protocolo seguro para el intercambio de la información (https).

Aspectos a revisar de la tienda online

Cuando vamos a realizar una compra por Internet, tenemos que fijarnos que la web cumpla una serie de requisitos que nos proporcione unos mínimos de seguridad.

  1. Por ejemplo, un sitio web es seguro para realizar compras si garantiza al menos que la información que intercambiamos con la página web se transmite protegida y a salvo de las miradas curiosas de un atacante.
    Para ello, la página web donde introducimos los datos debe comenzar por https://, y la barra de direcciones del navegador debe mostrar un candado. Aunque no es necesario que todas las páginas de la web comiencen por https, en el formulario de contacto o en páginas donde tengamos que introducir información bancaria la URL si debe facilitar HTTPS que indique que la información se transmite cifrada. Además de que la dirección comience por HTTPS, el certificado de seguridad de la web tiene que coincidir con el sitio donde estamos navegando. De no ser así, habría que abandonar la página inmediatamente.
  2. De manera adicional, la tienda online tiene que ofrecer en su web cierto tipo de información en alguna sección específica: “Aviso legal”, “Política de Privacidad”, “Quiénes somos”, “Contacto”, etc.
    Hablamos por ejemplo de mostrar el nombre completo, razón social, domicilio físico así como los datos de contacto. También debe indicar que datos personales recoge y que uso hace de ellos, así como informar que política de privacidad aplicará y si dichos datos serán cedidos a otra empresa.
  3. La política de envío y devolución es otro aspecto importante a revisar. Si no informa sobre estas cuestiones de forma clara, es mejor descartar la compra.

Conocer métodos de pago y sus características

Existen diferentes opciones para pagar por Internet, ya sea en tiendas online o entre particulares. Debemos elegir la más apropiada según el tipo de compra, confianza en la tienda online, etc.

  1. Tarjeta de crédito o débito. Usar las tarjetas para el pago es cómodo y rápido, ya que se realiza con la información contenida en la propia tarjeta, es inmediato y puede ser muy seguro. Sin embargo, no es el mejor método si tenemos alguna duda sobre la fiabilidad de la web, ya que estamos proporcionando toda la información necesaria para realizar compras.
    Para evitar que el comercio pueda acceder a los datos de la tarjeta, muchas tiendas y servicios online usan los TPV virtuales con autenticación, donde son las entidades bancarias las encargadas de verificar la autentificación de la tarjeta y de la protección de los datos bancarios del cliente. Este sistema es utilizado actualmente por Visa (Verified by Visa) y Mastercard (MasterCard SecureCode).
  2. Transferencia bancaria. En este tipo de pago se envía el dinero desde nuestra cuenta bancaria directamente a la del vendedor. La principal ventaja es que no se introducen datos en ningún sitio web. Sin embargo, si la cuenta está en el extranjero puede resultar complicado recuperar el dinero en caso de fraude, al tratarse de un movimiento de dinero entre dos cuentas bancarias.
  3. Las plataformas de pago. Éstos son servicios independientes que actúan como intermediarios entre nosotros y el vendedor. La de mayor uso es PayPal.
    La principal ventaja de estas plataformas es que el propietario de la tienda no tiene acceso a nuestros datos de la tarjeta de crédito, además estas entidades regulan los cobros y pagos, actuando como mediadores en errores y posibles fraudes. Sin embargo, dado que vamos a proporcionar a estas plataformas nuestros datos bancarios (tarjeta o cuenta), debemos informarnos de las medidas de seguridad y de qué garantías ofrecen en caso de fraude.
  4. Los servicios de transferencia instantánea. Los servicios como Western Union o MoneyGram son muy útiles cuando se envía dinero a personas conocidas. Es un sistema muy rápido e instantáneo.
    Sin embargo, estos servicios están diseñados para enviar dinerono para gestionar compras y una vez se haya enviado el dinero, la cancelación o el reembolso no son posibles.
    Además este tipo de empresas permiten hacer transferencias de dinero de forma anónima, resultando imposible identificar al destinatario en caso de fraude. Los delincuentes lo saben y suelen utilizar estos sistemas para realizar sus estafas. Por este motivo, no deben utilizarse para realizar compras online.
  5. El pago contra reembolso. Esta opción asegura que no se hace el pago hasta que se recibe y verifica el artículo comprado. El inconveniente es que no está siempre aceptada por los vendedores y puede implicar un coste adicional, por lo que debemos informarnos antes de utilizarlo.
  6. Las tarjetas prepago. Estas tarjetas permiten realizar pagos sin que éstos estén asociados a alguna cuenta bancaria. Nosotros decidimos el dinero que vamos a ingresar en la tarjeta. Una vez se ha agotado el dinero en esa tarjeta podemos recargarla si queremos. Se solicitan en cualquier entidad bancaria, y tan solo es necesaria la presentación del DNI para obtenerla. La principal ventaja es que, en caso de pérdida o robo, sólo perdemos la cantidad que hayamos cargado en la tarjeta. Por ello, no es recomendable hacer cargas de dinero muy elevadas.
  7. El teléfono móvil. Este sistema utiliza la tecnología NFC, que es una tecnología inalámbrica de corto alcance presente por ejemplo en los abonos transporte y que ya incorporan la mayoría de los smartphones.
    Aunque este sistema de pago no está muy extendido en España, nos permite utilizar nuestro teléfono móvil como si de una tarjeta de crédito se tratara. Sin embargo, para su funcionamiento es necesario que los datos de la tarjeta estén almacenados en el teléfono móvil. Por tanto, en caso de pérdida o robo de nuestro dispositivo, podrían acceder a los datos de nuestra tarjeta.

Otras consideraciones

  • Consultar opiniones y valoraciones compartidos por otros usuarios respecto a la tienda online donde se desea realizar la compra. Dicha información puede ser de gran utilidad de cara a saber si la tienda es fiable y seria o por el contrario, tiene una reputación dudosa o se trata de un fraude.
  • Sellos de confianza. Es interesante comprobar si la tienda online está adherida a algún sello ecommerce, es decir, a algún código de buenas prácticas de comercio electrónico que garantiza que cumple unos criterios de seguridad en la compra y cumplimiento legal en materia de privacidad y protección de los consumidores.