Comercio Electrónico Seguro con Tarjetas: Protegiendo tus Compras Online
Con el aumento de las compras online, también han aumentado los intentos de los ciberdelincuentes para robar información de los sitios de comercio electrónico y de los propios usuarios, y nadie está exento de sufrir uno de estos ciberataques. El comercio online está en auge y disminuye la desconfianza del consumidor para hacer sus compras por internet, gracias en parte a que cada vez hay más medidas de seguridad y resultan más efectivas. Sin embargo, los consumidores están cada vez más preocupados por ser víctimas de un fraude digital y los comercios y empresas por sufrir una brecha de seguridad que ponga en cuestión su reputación y provoque la pérdida de clientes. Por eso, si hay un elemento que deberías cuidar en tus compras online es la seguridad.
La Evolución de la Seguridad: PSD2 y la Autenticación Reforzada (SCA)
La normativa PSD2 (Directiva Europea 2015/2366 sobre servicios de pago) establece más controles en el momento de hacer el pago de una compra online, con el objetivo de asegurar que el pago lo está haciendo el titular de la tarjeta con la que se está pagando. Para eso, se introduce la “autentificación reforzada”: una doble verificación a realizar en el momento del pago.
Cada entidad emisora de tarjetas elige cómo realizar esa doble verificación. La SCA (Strong Customer Authentication - Autenticación Reforzada del Cliente) hace referencia a un conjunto de herramientas de autenticación de dos factores, diseñada para demostrar que los clientes finales son quienes dicen ser, utilizando reglas específicas que constituyen la "autenticación".
Categorías de Autenticación Reforzada
Existen tres categorías válidas para la autenticación disponibles y son necesarias dos formas de validación de las tres para completar el pago:
Cómo afecta la PSD2 o DSP2 y el SCA (Autenticación Reforzada de Cliente) si tienes una tienda online
| Categoría de Autenticación | Descripción | Ejemplos |
|---|---|---|
| Conocimiento (Algo que solo el titular conoce) | Información que solo el que paga debería saber. | Clave de banca digital (acceso o firma), PIN de la tarjeta, contraseña, frase o información con respuesta secreta. |
| Posesión (Algo que solo el titular tiene) | Un objeto que posee exclusivamente el que paga. | Código enviado por SMS al móvil del titular, teléfono móvil, reloj inteligente o tarjeta inteligente. |
| Herencia (Algo que el titular es) | Un dato biométrico propio del titular. | Huella digital, reconocimiento facial, patrones de voz, firma de ADN o iris. |
La doble autentificación supone dos comprobaciones, pero no pueden ser las dos del mismo tipo. Si tienes un Smartphone compatible con identificación por huella dactilar o reconocimiento facial, puedes registrarlo como "dispositivo de confianza" desde la App Openbank, y así no tendrás que introducir la clave de CES. Solo cuando hayas proporcionado dos de estas tres formas de autenticación, podrás completar el pago.
Es posible que, en el momento de introducir estos datos al pagar, nos preocupe pensar que estamos dando información bancaria relevante y que podría ser objeto de un fraude. En este sentido, podemos estar tranquilos siempre que la información se pida una vez que estemos dentro de una pasarela de pago. Es decir, que hemos confirmado la compra y el comercio online ha contado con el servicio de pago de nuestro banco o de la entidad que ha emitido la tarjeta. No, podremos seguir pagando las compras exactamente igual que hasta ahora. Únicamente deberemos tener a mano el móvil en el momento de hacer la compra, porque para algunas de ellas (en función del importe, del comercio...) nos puede llegar un código por SMS y tendremos poco tiempo para introducirlo. Si no nos lo han recordado, conviene comprobar con nuestra entidad que tienen ese dato.
¿Qué es el Comercio Electrónico Seguro (CES)?
El CES es un proceso con el que aumentas la seguridad de las tarjetas que usas para comprar online. El sistema de Comercio Electrónico Seguro hace que debas incluir una contraseña exclusiva para determinadas compras en internet. Es un sistema de confirmación que consiste en dos de las tres formas de validación, y con el que te aseguras que solo tú puedes usar la tarjeta. El CES es un sistema para asegurar las transacciones en Internet promovido por Visa Internacional, Mastercard, Microsoft y Netscape, entre otros. El fin principal es dar mayor seguridad tanto al usuario de Internet como a los comercios que venden a través de la Red, al autentificar al comprador como legítimo titular de la tarjeta que está utilizando.
El funcionamiento del Comercio Electrónico Seguro es muy sencillo. Por ejemplo, estamos haciendo una compra en una tienda online, llega el momento de pagar e introducimos el número de tarjeta bancaria, su fecha de caducidad y su CVV. Para confirmar la compra, aparecerá una ventana emergente en la que tendremos que introducir la clave CES. Cada vez que realizas una compra online recibirás por SMS un código de confirmación (posesión) al que ahora se añadirá la nueva Clave de Comercio Electrónico Seguro (CES) (conocimiento). Esta nueva clave adicional, que puedes elegir tú mismo, es la novedad del sistema, desarrollada para proporcionar una capa de seguridad adicional. Por ejemplo, si recibes un código SMS como 4ABC y tu clave CES es 7625, el dato que tendrás que introducir para confirmar la transacción es 4ABC7625. Como solo tú sabes esa clave, la compra será más segura.
En la práctica, al pagar con una tarjeta VISA o MASTERCARD “securizada”, se le solicitará, además del número y fecha de caducidad, una clave personal de uso exclusivo para compras por Internet que le identifica, de manera inequívoca, como su propietario. De esta forma, nadie podrá hacer una compra en Internet si desconoce dicha clave. Esta clave / PIN / firma / código de seguridad puede ser llamada de diferentes formas según la la entidad bancaria. Para simplificar nosotros le llamamos en adelante Código de Seguridad CES o Código CES comercio electrónico seguro.
El sistema CES tiene muchas ventajas. Debes activarlo para poder realizar pagos en comercios electrónicos que utilicen este sistema de seguridad. Es el sistema que puedes utilizar para evitar fraudes en el uso de las tarjetas de crédito o débito para realizar las compras en comercios online. Si usted no tiene el código CES para comercio electrónico seguro en su tarjeta, hemos de indicarle que puede solicitarlo para la misma tarjeta que ya tiene (no hay que hacerse otra) en su banco mediante un sencillo trámite. Este trámite depende de cada banco. No podrás realizar ningún tipo de operación si tu banco no te ha proporcionado el CES.
Gestión de la Clave CES
La forma en la que se activa el sistema CES depende de cada entidad bancaria, aunque en la mayoría de aplicaciones de banca electrónica lo encontrarás en el apartado de tus tarjetas bancarias o en el área de seguridad. ¿Qué pasa si se me olvida mi clave CES? Es muy sencillo, solo tenemos que acceder a la web del banco o su aplicación y consultarla allí. Habitualmente, la clave CES está o en el apartado de tarjetas o en el apartado seguridad o seguridad y claves del área de clientes. Es posible que el banco, como medida adicional, te pida introducir tu PIN o tu contraseña, antes de desvelar la clave CES.
Tus Tarjetas Ibercaja y la Seguridad Online
Si tienes tarjeta de Ibercaja, puedes consultar tus productos y toda tu correspondencia entrando en Banca Digital Ibercaja, seleccionando la pestaña Acceso Tarjetas e introduciendo allí tu DNI y el PIN de cualquiera de tus tarjetas Ibercaja.
Cómo utilizar la clave CES en tus tarjetas Ibercaja
Ya puedes empezar a utilizar tu clave desde la App Openbank o el “Área Clientes” de la web. Para ver cuál es tu clave asignada solo tienes que dirigirte a la sección “Seguridad y claves”, donde también podrás modificarla si quieres. Solo los clientes que tengan Código CES emitido por su banco para realizar pagos en comercios electrónicos seguros podrán realizar pagos mediante tarjeta en las pasarelas que InterIbérica habitualmente implementa.
Tipos de Tarjetas y Ventajas Generales
¿Qué es y para qué sirve una tarjeta?
Las tarjetas son un instrumento con el que podemos pagar cualquier compra sin necesidad de dinero en efectivo. Es perfecta para utilizar tanto en comercios físicos como en tiendas online, permitiendo gestiones más seguras y más sencillas y, en estos momentos, mejores para reducir el riesgo de transmisión del Covid19. Además de pagar en establecimientos, con las tarjetas podrás sacar dinero en efectivo en los distintos cajeros de todo el mundo. Y no solo eso, sino que tu tarjeta también es la forma de consultar todos tus productos y servicios bancarios desde casa. Algunas entidades permiten que los clientes con tarjeta tengan un acceso a información de sus saldos y movimientos en su web, identificándose con el PIN de la tarjeta.
¿Qué diferencias hay entre una tarjeta de crédito y una tarjeta de débito?
Principalmente existen dos tipos de tarjetas: las de crédito y las de débito. Y la diferencia entre ambas es la forma que tienen de realizarnos el cobro en nuestras cuentas corrientes.
- Tarjeta de débito: Cuando hacemos un pago con la tarjeta de débito el importe se nos descuenta inmediatamente de nuestra cuenta corriente.
- Tarjeta de crédito: Mientras que cuando se paga con una tarjeta de crédito no te retiran al momento el dinero. Además, es importante saber que dentro de las tarjetas de crédito podemos diferenciar a su vez dos tipos de pagos:
- Pago diferido: Al pagar con esta modalidad, el dinero no se cobra al instante, sino que se retira a final de mes o una vez a la semana (dependerá de lo que el usuario elija). Estas tarjetas también disponen de un tope de gasto al mes. Por ejemplo, si realizamos una compra el 10 de febrero el cobro a nuestra cuenta se efectuará el 1 de marzo.
- Pago aplazado: Esta otra modalidad es similar al pago diferido, pero tiene la peculiaridad de que los cobros se realizan de forma fraccionada a lo largo de los meses. Este servicio sí que tiene un coste para el usuario.
¿Qué son las tarjetas contactless y cómo funcionan?
Contactless Indicator es una marca registrada propiedad de EMVCo, LLC y utilizada con su autorización. Ahora además, muchas de las tarjetas de débito o crédito son contactless, es decir, que realizan el pago al aproximarlas a un cajero, TPV u otros dispositivos. Con este sistema se ha ganado en eficacia y en seguridad frente a las tarjetas con banda magnética o chip: el pago es más rápido ya que solo aproximando se realiza el pago.
Ventajas del uso de las tarjetas
El realizar los pagos con tarjeta tiene numerosas ventajas que harán tu vida más sencilla y harán que te olvides de disponer en cada momento de dinero en efectivo.
- Información detallada: Con las tarjetas podrás tener una información detallada de los movimientos que realices en tu banca digital para gestionar de una forma más eficiente la economía familiar o de empresa.
- Aplazamiento de pagos: Como ya os hemos contado, la ventaja de las tarjetas de crédito es que puedes aplazar los pagos y pagar cómodamente ciertas compras.
- Seguridad: Las tarjetas pueden ser bloqueadas en cualquier momento si se extravían o te las roban, una rápida actuación que nos garantiza la seguridad de nuestras cuentas.
Identificación de Tiendas Online Fraudulentas y Compras Seguras
Contar con una guía para compras online seguras puede serte muy útil en cualquier momento del año. Hay fechas o temporadas especiales en las que es aconsejable extremar las precauciones. Además de los consejos habituales de rebajas o Black Friday, hay otras épocas en las que tampoco puedes bajar la guardia: la reserva de tus vacaciones. No es para menos, ya que el turismo encabeza las compras en comercio electrónico en España. Las agencias de viaje y los operadores turísticos son los que mayor volumen de pagos se llevan, seguidos por el transporte aéreo, la moda y los hoteles y alojamientos. Existen multitud de servicios y plataformas fiables con métodos de pago seguros, pero hay que tener en cuenta que las estafas que tienen como objetivo capturar datos personales o bancarios cada vez son más sofisticadas.
¿Cómo identificar una tienda online fraudulenta?
Si vas a comprar o pagar un viaje por internet, fíjate en algunas señales que pueden hacerte sospechar sobre la fiabilidad de ese comercio online. El Instituto Nacional sobre Ciberseguridad (INCIBE) recomienda revisar los siguientes puntos:
- Falta de información de contacto: Como una dirección física, un número de teléfono o un correo electrónico de contacto. Si vas a reservar un apartamento, revisa cuidadosamente la descripción y verifica la autenticidad de las reseñas del alojamiento y del propietario.
- Precios demasiado buenos para ser ciertos: Productos “únicos” a precios muy bajos tienen una alta probabilidad de ser falsificados, robados o de una calidad muy inferior a la esperada.
- Errores gramaticales y de diseño en el sitio web: Aunque cada vez es menos frecuente, si la web está mal diseñada o contiene errores gramaticales, podría ser una tienda no confiable.
- Enlaces rotos: Es habitual en las webs fraudulentas que los enlaces no funcionen o que te redirijan constantemente a la página principal.
- Perfiles de redes sociales inexistentes: No suelen tener canales o los iconos llevan a perfiles que no corresponden con la tienda online o que carecen de actividad.
- Uso de titulares impactantes (clickbaiting): Utilizan títulos gancho y descripciones engañosas para atraer a los clientes.
Ten en cuenta que el hecho de que la tienda online cumpla alguno de estos puntos no quiere decir siempre que se trate de una web fraudulenta, pero sí deberías seguir indagando para asegurarte antes de hacer cualquier compra. Conviene buscar en otras webs similares o utilizar herramientas de búsqueda por imagen para comprobar si, por ejemplo, se están utilizando fotografías de esas páginas. Antes de introducir cualquier dato, haz más comprobaciones, como si la web tiene:
- Información de contacto de la empresa.
- Aviso legal.
- Sello de confianza.
- Un apartado con la política de devoluciones.
Además, puedes revisar los precios y las reseñas de otros usuarios. Un claro ejemplo es la reserva de apartamentos y casas rurales. Que sea habitual no significa que sea seguro y, al hacerlo, puedes exponerte al robo de datos para suplantar tu identidad o simplemente que se compartan por error con otras personas. Antes de enviar tu DNI o cualquier otro documento de carácter personal, es recomendable tomar ciertas medidas de seguridad para evitar riesgos:
- Comparte solo la información necesaria. Puedes tachar o pixelar el resto de datos como, por ejemplo, la firma.
- Envía la imagen del DNI siempre en blanco y negro. De esta forma, quedará claro que es una fotocopia y, si alguien intenta usarlo, no podrá demostrar que es el original.
- Indica el motivo por el que lo envías.
Actuación Post-Compra y Prevención de Fraudes
¿Acabas de realizar una compra online y has seguido todas las medidas de prevención ante posibles fraudes? Todavía no has terminado. ¿Qué hacer en caso de duda? Recuerda que el INCIBE pone a tu disposición una Línea de Ayuda en Ciberseguridad (017), para resolverte cualquier duda o problema. Si, a pesar de todo, picas o crees haber sido víctima de un fraude, contacta cuanto antes con tu banco para intentar cancelar la operación y, si has facilitado datos de tu tarjeta, cancélala o bloquéala para que no puedan usarla indebidamente.
Seguridad Crucial para Comercios Electrónicos
Con el aumento de las transacciones digitales, los ciberdelincuentes han refinado sus tácticas. Por eso, construir un ecommerce seguro es crucial para mantener la confianza del consumidor en nuestra marca. Para evitar que tu comercio electrónico se vea amenazado y sea un espacio donde las transacciones se lleven a cabo de forma segura, te presentamos los cinco pilares fundamentales que debes tener en cuenta a la hora de diseñarlo: “La confianza es el activo más valioso de cualquier negocio digital."
- Protocolo HTTPS y certificado SSL: Es la primera línea de defensa.
- Pasarelas de pago seguras: Utiliza pasarelas de pago reconocidas. Se trata de un software dedicado a la gestión de transacciones digitales; es decir, el puente entre tu ecommerce y la entidad bancaria que autoriza los pagos con tarjetas o métodos digitales de forma protegida.
- Sellos de confianza: Los distintivos o sellos de confianza (como Confianza Online, ICERT o AENOR E-COMERCIO) actúan como un aval externo que certifica que tu sitio cumple con los requisitos legales de seguridad, protección de datos y buenas prácticas en el comercio electrónico.
- Contraseñas robustas y doble autenticación: Implementar políticas de contraseñas fuertes para tus empleados y clientes es vital, pero no es suficiente. Por eso, la autenticación de dos pasos (2FA) añade una capa extra de seguridad al requerir dos formas de identificación antes de hacer una transacción. Este método es mucho más efectivo a la hora de evitar fraudes, además de proteger contra el phishing y generar mayor confianza y fidelización del cliente.
- Vigilancia activa: No esperes a que el problema ocurra. Implementar sistemas de detección de fraudes en tu sitio web te permitirá analizar patrones de compra sospechosos (como pedidos urgentes o masivos desde ubicaciones inusuales, uso de múltiples tarjetas por un mismo usuario o direcciones inconsistentes, entre otros). Además, el uso de protocolos como 3D Secure, donde el cliente debe confirmar la compra en su app bancaria, asegura que quien está detrás de la pantalla es el legítimo dueño de la tarjeta.
Proteger un ecommerce es una carrera de fondo donde los ciberdelincuentes van siempre un paso por delante. Por eso, junto a todas las protecciones que nos ofrece la tecnología, hay otro aspecto muy importante: la formación de tu personal en materia de ciberseguridad. Este seminario, repasará los requisitos imprescindibles que un comercio online debe implementar y respetar en su página para considerarse seguro, y así ser capaces de diferenciarlo de aquellos que debemos evitar a toda costa a la hora de realizar nuestras compras online.