Madrid, 13 de abril del 2020.- La 1º Entrega de esta serie de reportajes, sobre la “Compra Segura en Internet”, explicamos los pasos previos y necesarios antes de realizar una compra digital. En la 2º Entrega que publicamos a continuación, entramos de lleno en los detalles de la compra on line: Medios de pago, seguridad de las contraseñas, la doble verificación, etc. Recordamos que estas recomendaciones proceden de estos organismos públicos: Agencia de Protección de Datos, Incibe, Aecosan, Policía Nacional y Ministerio de Sanidad.
2.1. MEDIOS DE PAGO PARA COMPRAS ONLINE
Una de las mayores preocupaciones de los usuarios al realizar compras online es el tipo de pago a utilizar. Aún son muchos los que desconocen las distintas alternativas disponibles y qué ventajas o inconvenientes aporta cada una. Por tanto, es importante conocer qué opciones hay disponibles para saber cuál es la que más interesa utilizar para cada tipo de compra y la que ofrece una mayor seguridad.
A continuación se describen los medios de pago de uso común en el comercio online y, para cada uno de ellos, los derechos que asisten a los consumidores y los aspectos más relevantes en cuanto a la seguridad que ofrecen.
2.1.1. Envíos de dinero en efectivo
Determinados servicios están diseñados para realizar transferencias de dinero, incluso de forma anónima, resultando imposible identificar quién es el emisor y el receptor y, por tanto, no se deben utilizar nunca para realizar compras online.
Derechos. Uno de los aspectos principales del comercio electrónico, junto con la seguridad, son los medios de pago utilizados. Si un operador de comercio online solicita el pago en dinero efectivo, renuncia a la compra o a la contratación.
Seguridad. Aunque este sistema no supone un intercambio de datos bancarios entre vendedor y comprador, no es un método seguro para realizar compras online ya que no hay constancia de quién envía el dinero ni tampoco de quién lo recibe, por lo que se pierde la trazabilidad del mismo. Por tanto, en caso de problemas con la compra (producto que no llega, defectuoso o incorrecto) será difícil reclamar el dinero, ya que no se sabe a ciencia exacta quién retiró el cheque con el dinero, especialmente en caso de ser víctimas de un fraude.
2.1.2. Contra reembolso
Es la modalidad de envío de paquetes, en la cual se paga en efectivo cuando se recibe el paquete.
Derechos. Para el comprador se trata de un sistema bastante fiable, ya que se paga el producto cuando se recibe. Sin embargo, en muchas tiendas online no se ofrece esta posibilidad por el riesgo que supone asumir el envío de un producto que aún no ha sido pagado y, además, le puede generar un coste adicional de gastos de envío si en el momento de la entrega no se encuentra el cliente en el domicilio. Por otro lado, puede resultar poco práctico para el cliente, especialmente cuando los costes del efectivo a pagar son elevados.
Seguridad. Es un método muy seguro, ya que sólo se paga el producto cuando se recibe y después de abrir el paquete y comprobar que el pedido es correcto.
2.1.3. Transferencia bancaria
Este método de pago permite enviar una cantidad de dinero desde una cuenta bancaria a otra. La principal ventaja respecto a otros medios de pago es que no es necesario introducir ningún dato en el sitio web. Sin embargo, no todas las tiendas virtuales ofrecen esta opción de pago.
Derechos. En el caso de no entregar los bienes o servicios adquiridos se puede reclamar contra el proveedor, por incumplir el objeto del contrato.
Seguridad. El vendedor sólo tendrá que facilitar los datos de la cuenta bancaria para que el comprador proceda a realizar el ingreso del dinero correspondiente a su compra. Sin embargo, puede suponer riesgos de seguridad, especialmente en caso de transferencias internacionales ya que el dinero será difícil de recuperar una vez abonada en la cuenta del receptor. Si el titular de la cuenta receptora del dinero no autoriza su devolución, habría que acudir a la vía judicial.
2.1.4. Pago con tarjeta
Es la modalidad más utilizada por las tiendas virtuales. La única información necesaria para realizar el pago está contenida en la propia tarjeta de crédito/débito.
Derechos. Los beneficiarios de las operaciones de pago no podrán exigir al consumidor el pago de gastos o cuotas adicionales por la utilización de la tarjeta.
Cuando el importe de una compra ha sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, el consumidor y usuario titular de ella podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del vendedor y del cliente titular de la tarjeta se efectuarán a la mayor brevedad.
Si la compra ha sido efectivamente realizada por el titular de la tarjeta y la exigencia de devolución no fuera consecuencia de haberse ejercido el derecho de desistimiento, el comprador quedará obligado frente al vendedor al resarcimiento de los daños y perjuicios ocasionados como consecuencia de dicha anulación.
En el caso de servicios continuados que se abonan periódicamente, hay que advertir de que el pago con tarjeta es un sistema menos garantista para el consumidor que la domiciliación, ya que en ésta basta con devolver los recibos incluso a posteriori, mientras que la recuperación de importes abonados por tarjeta es más compleja.
Seguridad. Aunque implique el intercambio online de datos bancarios, puede llegar a ser un sistema de pago muy seguro siempre que la tienda online utilice una pasarela de pago que ofrezca algún banco, el cual se encargará de verificar la autenticidad de la tarjeta y de la protección de los datos del cliente. De este modo, la tienda online en ningún momento dispondrá de los datos financieros del usuario, lo que dota de mayor seguridad al proceso de pago. En el caso de que la tienda no utilice la pasarela de pago seguro del banco, la protección de los datos bancarios del comprador recaerá sobre la propia tienda y los mecanismos de seguridad que tenga implantados. Por tanto, si hay dudas sobre la fiabilidad de la web, es mejor descartar la compra y no facilitar los datos de la tarjeta de crédito para que no se haga un uso indebido de los mismos.
Asimismo, cuando sea posible, se recomienda valorar la posibilidad de disponer de una tarjeta de uso exclusivo para realizar pagos online; es posible que incluso podamos desactivar esta tarjeta cuando no la necesitemos si realizamos compras online de forma ocasional.
2.1.5. Pago a través de intermediarios
Modalidad de pago en la que se utiliza a una tercera empresa de confianza, por ejemplo PayPal, para que gestione los datos bancarios tanto del vendedor como del comprador y se encargue de formalizar los pagos. De esta forma, no es necesario que el vendedor conozca los datos de comprador y viceversa. Muchas tiendas online ofrecen este servicio por su comodidad para el usuario al no tener que introducir sus datos bancarios cada vez que va a realizar una compra.
Derechos. Antes de adherirse a este sistema de pago se recomienda a los consumidores y usuarios que consulten las condiciones de uso del servicio.
Seguridad. Sistema de pago muy seguro siempre que el usuario utilice una contraseña robusta para acceder al servicio. El usuario solo necesita disponer de una cuenta y configurar en ella su tarjeta de crédito. Cuando se realice una compra online utilizando este sistema de pago, los datos financieros del cliente no los manejará el vendedor y viceversa, será la tercera empresa de confianza quien se encargue de realizar la gestión correspondiente con cada una de las partes, lo que dota de mayor seguridad al proceso.
2.2. CONFIGURACIÓN DE LAS CUENTAS DE USUARIO
2.2.1. Contraseñas seguras
Muchas tiendas online obligan a disponer de una cuenta de usuario a través de la cual configurar ciertos parámetros, como nombre y apellidos, dirección de envío del pedido, domicilio para registrar la factura, datos de la tarjeta de crédito, etc. Para proteger el acceso a esa información, el mecanismo facilitado es la contraseña. La fortaleza de esa contraseña determinará si los datos almacenados en la cuenta de usuario están más o menos protegidos del acceso de intrusos o personas no deseadas. Por este motivo, es de vital importancia utilizar contraseñas seguras y gestionarlas correctamente para que nadie las adivine o las obtenga probando distintas combinaciones de letras y números.
Cómo generar contraseñas seguras
Debe tener una longitud mínima de ocho caracteres, combinando letras mayúsculas y minúsculas, números y caracteres especiales (símbolos).
Nunca se deben utilizar como contraseñas palabras sencillas en cualquier idioma que se puedan encontrar fácilmente en el diccionario.
Cuidado con informaciones muy obvias relacionadas con la persona: nombres propios, de mascotas, lugares significativos, fechas de nacimiento o de otros eventos especiales, etc.
Evitar contraseñas formadas únicamente a partir de la concatenación de varios elementos. Por ejemplo: “Marco1978” (nombre + fecha de nacimiento).
Y por supuesto, no usar ninguna de las siguientes contraseñas, ni similares: 123456, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, password, 123123, 987654321.
2.2.2. Activar verificación en dos pasos o doble verificación
En ocasiones, una contraseña robusta no garantiza totalmente la seguridad de la cuenta. Por ejemplo, si el equipo está infectado con algún virus, o el smartphone o tablet tienen instalada alguna app maliciosa diseñada para robar las contraseñas de acceso del usuario. Por otro lado, es posible que, en un momento dado, el usuario engañado bajo un falso pretexto acabe facilitando a los ciberdelincuentes sus datos de acceso a un determinado servicio (un ejemplo típico es el phishing).
Afortunadamente, para protegerse de estos riesgos, muchos servicios online y algunas tiendas virtuales ofrecen la opción de activar la doble verificación.
Qué es la doble verificación
· Consiste en solicitar al usuario un PIN, código o clave adicional durante el proceso de login/registro o durante el proceso de formalización de la compra.
· Dicho código sólo lo conocerá el usuario.
· Lo recibirá a través de un canal al que sólo él tiene acceso, por ejemplo, en su teléfono móvil.
2.2.3. Recuperación de cuentas
Puede ocurrir que el usuario olvide la contraseña de acceso a la cuenta personal de la tienda online donde quiere tramitar una compra. Los servicios online permiten recuperar el control de la cuenta al usuario mediante diversos mecanismos. Los más frecuentes son la recuperación de la contraseña haciendo uso del correo electrónico y de preguntas de seguridad.
Es importante tener en cuenta algunos aspectos de seguridad para que estos mecanismos de recuperación no sean utilizados por usuarios con malas intenciones, ya que si alguien consiguiese recuperar el control de una cuenta de una tienda online en la que hay datos financieros registrados, podría, por ejemplo, ejecutar compras sin que el dueño de la cuenta sea consciente de ello hasta que vea los cargos en su cuenta bancaria.
Aspectos a tener en cuenta para la recuperación de cuentas de usuario
Al recuperar una contraseña a través del correo electrónico:
· Deberá asegurarse de que la contraseña de acceso al correo cumple con los requisitos mínimos de seguridad exigidos.
· La contraseña de acceso al correo debe ser diferente a la de la cuenta de la tienda online. Nunca deben utilizarse las mismas contraseñas para servicios diferentes.
· Si el servicio online lo permite en su configuración, utilizar un correo electrónico alternativo al empleado en el proceso de registro para la recuperación de la contraseña.
Al recuperar una contraseña a través de pregunta secreta:
· Generalmente hay que configurar manualmente esta opción. Comprobar si la tienda online donde se va a comprar dispone de esta funcionalidad.
· Las respuestas no deben estar basadas en información verídica, ya que, aunque generalmente son más fáciles de recordar, si alguien conoce mínimamente a la persona, personalmente o por la información publicada en internet, podría ser relativamente sencillo adivinar las respuestas.
· Deben ser fáciles de recordar por el usuario y guardarse de un modo seguro. Hay que tener en cuenta que en la mayoría de los casos se utilizan muy esporádicamente, sólo en caso de pérdida de la contraseña principal, y es necesario recordar o recuperar fácilmente esos datos.
2.2.4. Cuándo guardar información de los métodos de pago
Después de realizar una compra online, posiblemente en la cuenta de usuario se han memorizado datos como nombre, dirección de envío y de facturación, histórico de compras, número de teléfono, etc. Pero también la información relativa a la forma de pago utilizada, que en la mayoría de los casos será la tarjeta de crédito: tipo de tarjeta, número, fecha de caducidad y CVV. Si es así, habrá que valorar si interesa que los datos financieros se almacenen en la cuenta para futuras compras o, por el contrario, es preferible borrarlos.
Consideraciones a tener en cuenta
Si la cuenta de usuario de la tienda online no está correctamente configurada en cuanto a seguridad (contraseña robusta, doble verificación), se desaconseja totalmente mantener almacenada información financiera. Especialmente si se trata de una tarjeta de crédito asociada a una cuenta corriente con dinero suficiente como para realizar distintos cargos.
Es preferible introducir estos datos en cada proceso de compra que asumir el riesgo de que alguien capture las contraseñas de acceso a la cuenta y proceda a realizar compras online a cargo del usuario víctima.
Y hay que recordar siempre que, independientemente de si se almacena esta información o no en la cuenta de usuario, al finalizar debe cerrarse siempre la sesión al terminar la compra para evitar que nadie acceda a ella.
2.2.5. Consideraciones específicas para compras a través de apps
En el caso de compras online a través de apps, es importante tener en cuenta además algunas cautelas adicionales para evitar que nadie realice compras en nombre de otra persona si, por algún motivo, tiene acceso físico al terminal móvil donde está configurada la app de compra online con los datos privados y bancarios previamente configurados.
Medidas de seguridad extra para compras a través de apps móviles
Establecer un bloqueo de pantalla del dispositivo con el menor tiempo de espera posible para restringir el acceso a las funcionalidades incluyendo las apps. Es posible configurar un patrón, PIN o contraseña siendo las opciones más seguras las dos últimas.
Proteger el acceso a aplicaciones concretas para que no las pueda iniciar cualquier persona. Es una opción muy interesante para aquellas apps, como muchas de compras online, que dan acceso a servicios que proporcionan información sobre el usuario y que, por defecto, guardan la sesión no siendo necesario introducir la clave de acceso cada vez que se quieren utilizar. Algunas aplicaciones traen incorporada esta medida de seguridad pero, para aquellas en las que no sea el caso, es posible instalar una “app locker”, como así se conocen, que ofrezca esta funcionalidad.
De manera adicional, se recomienda configurar el dispositivo para que antes de descargar cualquier aplicación del repositorio de aplicaciones, de pago o no, sea necesario introducir un código PIN que apruebe la acción. De esta forma, se evitará que personas sin permisos instalen o utilicen aplicaciones sin consentimiento del dueño del dispositivo.