Mejora de la privacidad en las compras y pagos online (A4C42C1D01)

Gracias a Internet y a su uso generalizado, la sociedad actual ha ido evolucionando hacia un entorno digital con una alta interacción entre personas y servicios. Uno de los servicios que se ha digitalizado y que ha tenido una gran acogida es el mercado de compraventa de productos y servicios. Ya no es necesario ajustarse a compras en los establecimientos cercanos, sino que puedes adquirir el producto o el servicio que deseas casi en cualquier lugar del mundo.

Miles de empresas se han lanzado a ofertar productos y servicios a través de sus webs. La forma de compra es sencilla y consta de unos pasos que se describen a continuación.

Procedimiento habitual de compra online de un producto:

1 |  El usuario accede a la web de la empresa.
2 |  El usuario busca el producto que desea.
3 |  El usuario lo añade a su carrito de la compra.
4 |  El usuario proporciona los datos de entrega.
5 |  El usuario proporciona los datos de facturación.
6 |  El usuario realizar el pago.
7 |  La empresa recibe el pago.
8 |  La empresa empaqueta el producto.
9 |  La empresa entrega el paquete con el producto a un operador logístico.
10 |  El operador logístico se encarga de hacer llegar el producto al usuario.

Este mecanismo requiere un cierto grado de confianza entre el usuario, la empresa y el operador logístico: el usuario se arriesga dando su dinero a una empresa que debe enviarle el producto, la empresa se arriesga a que la transferencia de dinero del usuario no se haga realmente y la empresa logística a que el producto no sea recogido por el usuario final y que tenga que correr con los gastos de devolución a la empresa vendedora.

La empresa logística es un actor importante en esta transacción, pero su riesgo es menor, puesto que suelen contratar seguros que cubren estos gastos y como suelen hacer un número elevado de entregas desde los mismos proveedores, pueden esperar a tener que realizar un nuevo trayecto a la empresa para realizar la devolución y minimizar los costes de trayectos.

Por tanto, son los usuarios y las empresas vendedoras los que deben tener una seguridad de que no van a ser engañados. Nos vamos a centrar en los usuarios y vamos a ver algunas ideas básicas que deben seguirse para incrementar la seguridad y su privacidad en las compras online.

Confianza en la web de compras

Para poder mantener una alta privacidad, lo primero que debe comprobar un usuario es que la web en la que pretende hacer la compra es de confianza: no le daremos nuestros datos personales a nadie en quién no confiemos. En la vida real, las personas suelen preferir comprar los productos en tiendas de empresas conocidas antes que a un desconocido por la calle. Esto se aplica igual cuando realizamos compras por Internet. Debemos conocer la web en la que compramos y debemos confiar en que la empresa que la gestiona tiene una buena reputación.

Hay miles, millones de webs en Internet. La gran mayoría son de empresas que desean realizar ventas reales, ganándose un beneficio en dicho intercambio. Sin embargo, esa minoría de webs fraudulentas que solo desean engañarnos para obtener nuestro dinero y nuestros datos personales son las que debemos detectar y rechazar.

Si compramos en webs de empresas conocidas y con buena reputación como Amazon, El Corte Inglés, Carrefour, MediaMarkt, etc. tenemos el respaldo de grandes compañías con muchos años de experiencia y que tienen un gran prestigio. Todos estos indicadores muestran que podemos tener un nivel alto de confianza en estas webs y es fiable darle nuestros datos personales, ya que darán un uso legítimo a dichos datos.

Si la web de compra no es de una empresa conocida, podemos hacer una búsqueda de reseñas de otros usuarios. Es preferible que las opiniones no sean de la propia web, puesto que podrían haberse puesto únicamente aquellas que sean favorables a la empresa o incluso que sean inventadas.

Hay algunos consejos que se pueden seguir para tener indicios de si una web es fraudulenta:

• Está mal traducida.
• Tiene un exceso de publicidad o de ventanas emergentes de productos “extraños” o poco relevantes en relación con la compra que se pretende realizar.
• El aspecto general es poco profesional.
• Los títulos de las secciones no coinciden con el contenido mostrado.
• Los precios son excesivamente baratos sin ofrecer motivos que lo justifiquen claramente (por ejemplo, son baratos porque son productos de segunda mano, devoluciones, descatalogados, etc.)

Cifrado de la web de compras

Antes de proporcionar ningún dato personal a una web en la que quieres hacer una compra debes fijarte si la conexión es segura. Para ello tienes que comprobar si la conexión que haces con el navegador está cifrada. Las conexiones seguras se realizan utilizando el protocolo seguro https.

Detalle del navegador con conexión con protocolo https y símbolo de Seguridad.

Las páginas web que no tienen protocolos seguros https podrían ser páginas legítimas, pero su inseguridad podría hacer que nuestros datos pudieran ser capturados por cualquier atacante.

Además, el protocolo https permite saber quién ha generado el certificado de identidad. Este certificado SSL es el que se usa para establecer la conexión segura entre nuestro navegador y la web de compra de la empresa. Así, revisando el certificado podemos asegurarnos que la web coincide con el nombre certificado y que la organización certificadora es fiable.

Detalle del certificado de seguridad de Amazon.

Otros estándares de seguridad

Aunque el uso del protocolo https es el principal estándar de seguridad, existen otros estándares en los que debemos fijarnos para tener una mayor confianza en la web de compras.

Las empresas que gestionan de manera segura tus datos privados siguiendo unos requisitos muy estrictos obtienen la certificación ISO 27001. Por tanto, aquellas empresas que tengan dicha certificación han demostrado que tienen un procedimiento muy seguro que garantiza la privacidad de nuestros datos personales.

Existen empresas en Internet dedicadas a analizar la privacidad de las páginas web de las empresas y otorgarles sellos de fiabilidad. Uno de los sellos de privacidad más conocidos es TRUSTe®. Tenerlo incrementa la seguridad de los usuarios en como esa web maneja la privacidad de los datos, lo que la hace mucho más confiable.

Ejemplo de web de empresa certificada con ISO/IEC 27001 y otros certificados.

Logo del sello TRUSTe® de garantía de seguridad y privacidad de empresas y webs.

Una vez el usuario ha podido establecer un nivel de confianza en la web, se puede pasar a un segundo nivel, en el que el usuario debe evaluar si la empresa va a utilizar sus datos personales de la manera que él desea y si existen métodos de compra que le interesen y le garanticen el nivel de privacidad que desea.

Políticas de privacidad

Antes de proporcionar nuestros datos personales a una web, debemos informarnos para qué quieren los datos. Por ejemplo, ¿realmente es necesario que una web sepa nuestra dirección del trabajo si lo que queremos hacer es una compra personal?

O bien, ¿van a guardar nuestros datos en los servidores de la empresa o los van a ceder a terceras empresas para que nos manden mensajes?

Si la empresa es de la Unión Europea deberá cumplir determinadas normativas, como el Reglamento General de Protección de Datos (RGPD, o en inglés, GPRD). Si la web está localizada fuera de la Unión Europea, habrá que revisar la normativa del país en la que se ubica para saber qué derecho tenemos sobre los datos personales que cedemos.

Otras políticas de compras

Además de la privacidad, los usuarios debemos revisar otras políticas que tenga la tienda y que pueden influir mucho la compra de nuestro producto. Por ejemplo, ¿qué garantía tiene el producto ¿Dónde se aplica la garantía? ¿Quién se encarga de los gastos de transporte? ¿Se incluyen los costes de aduanas si es una venta internacional? ¿Cuánto tiempo se puede retrasar el envío antes de poder reclamar? En caso de reclamación legal, ¿a qué legislación y tribunal se acoge el usuario?

En general, los usuarios deben tener en cuenta los siguientes aspectos para realizar su compra:

• Formas de envío: tipo de transporte, embalaje, lugar de entrega, etc.
• Garantía: tipo de garantía (reposición completa, arreglo sin franquicia, arreglo con franquicia, bono de recompra, etc.) y tiempo para aplicarla.
• Desistimiento de compra: durante cuánto tiempo podemos rechazar la compra, coste del desistimiento, etc.
• Reclamaciones: tiempo de reclamación, lugar y modo de reclamación.
• Transporte: costes, plazos, tasas adicionales.
• Servicios adicionales: seguros de reparación, de transporte, actualizaciones, postventa, etc.

El análisis de estos apartados puede hacer aparecer precios ocultos que no se muestren en el precio inicial del producto.

Métodos de entrega

Existen múltiples formatos para realizar las entregas. Cada uno de ellos tiene un procedimiento diferente, con costes distintos y también con implicaciones de privacidad de los datos diferentes, en cada caso.

En cuanto a la entrega suele haber tres tipos:

• Entrega en domicilio: la empresa logística entrega el producto en el domicilio (o donde le indique el cliente). Para ello, necesita muchos datos personales, desde nombre, apellidos, DNI y dirección del domicilio. Es el mecanismo con un menor nivel de privacidad.
  
  
• Entrega en Correos o en una tienda asociada: el producto se deposita en la oficina de Correos o en una tienda asociada, y el usuario va a dichos lugares y recoge su producto. La empresa debe conocer datos personales del cliente, para poder autorizar la recogida, pero no debe saber el domicilio u otro dato personal.
  
  
• Entrega en un punto de recogida: el producto se entrega en un casillero seguro y el usuario puede abrirlo con una combinación única y recoger su producto. En este caso, la empresa no tiene ningún dato personal de ubicación ni de domicilio. Es el tipo de entrega con un mayor nivel de privacidad.

Métodos de pago

Nuestros datos bancarios es uno de los datos personales más críticos en cuanto a privacidad. Por tanto, debemos prestar atención particular a los métodos de pago.

Con respecto a estos, existen varias opciones:

• Transferencia bancaria: es el mecanismo que tiene un nivel de privacidad más bajo, puesto que es necesario proporcionar un código de cuenta bancario completo, con la inseguridad que ello puede acarrear de cargos indebidos.
  
  
• Pago con tarjeta de crédito: el cliente proporciona los datos de su tarjeta de crédito y a través de una pasarela segura se realiza el cargo en la tarjeta. En determinadas entidades bancarias puedes activar un segundo nivel de seguridad teniendo que hacer una autorización de dicho cargo a través de aplicaciones bancarias. Esto proporciona un nivel adicional de seguridad, ya que no pueden hacer cargos adicionales sin la autorización del cliente.
  
  
• Pago con monedero electrónico/tarjeta de prepago: el procedimiento de pago es igual al de pago con tarjeta, pero la que se usa es una tarjeta en la que se carga el coste que se desea pagar. De esta manera, en el peor de los casos, el atacante solo habría dispuesto del efectivo que hay en dicha tarjeta sin posibilidad de hacer cargos adicionales. Es un nivel de privacidad superior puesto que no se da una tarjeta asociada a la cuenta bancaria del usuario.
  
  
• Pago a través de PayPal, Google Pay, o similar: la empresa PayPal (Apple, Google u otras similares) realiza un pago en tu nombre, cargándole el coste al usuario en su cuenta corriente o en una tarjeta bancaria que previamente habrá registrado. Es uno de los sistemas más seguros, porque el usuario no tiene que proporcionar datos bancarios a la tienda, lo que implica una mayor privacidad.
  
  
• Pago contrarrembolso: el usuario paga al transportista al recoger el producto. Suele tener un cierto sobrecoste para cubrir el seguro del transporte. Es uno de los métodos con mayor privacidad, puesto que solo se proporciona el lugar de entrega y el nombre del usuario.

Al realizar compras por Internet podemos estar dejando rastros a posibles atacantes que puedan aprovechar para invadir nuestra privacidad. Es conveniente conocer diferentes opciones para evitar, o al menos, limitar el ataque a nuestra privacidad.

Registro de usuario en la web

Es habitual que todas las tiendas electrónicas nos soliciten un registro en su sistema. Gracias a dicho registro podemos recuperar pedidos, continuar con el proceso de compra, incorporar tarjetas bancarias para acelerar el mecanismo de pago, etc.

Estas ventajas, sin embargo, puede que no sean interesantes si se va a realizar una compra única y puntual en una determinada web. Le proporcionamos muchos datos personales, con la pérdida de privacidad que ello conlleva. Habrá determinados datos que tendremos que proporcionar para hacer la compra según el procedimiento de entrega y el método de pago que escojamos.

Existen algunas tiendas que permiten realizar compras como invitados, sin necesidad de realizar un registro, pidiendo los datos personales exclusivamente necesarios para realizar la compra. Pero la gran mayoría de webs exigen el registro para realizar una compra y en muchos casos, solicitan un email.

En estos casos, para evitar tener que darles nuestro email personal, podemos crear otros emails secundarios que usemos únicamente para realizar compras. De tal manera, que separamos nuestro email personal del email de compras. Si por algún motivo hubiera un fallo de seguridad en la web de compras o se produjera un hackeo, no estaríamos dando acceso a nuestro email personal.

Otra opción es el uso de alias de email. Se crean diferentes alias de la misma dirección de email original, de tal forma, que un correo electrónico enviado al alias se recibe en la carpeta de correo de la dirección de email original. Se suelen agregar filtros de recepción, que conforme se reciba un email de un alias se envíe a una subcarpeta. En este caso, igual que en el anterior, un atacante no tendría acceso al correo principal y las contramedidas se podrían implementar fácilmente, simplemente anulando dicho alias.

Finalmente, hay servidores de email que permiten agregar a nuestro correo principal etiquetas, alterando el identificador del email, pero entregando el correo en la misma carpeta del email original. Esto es posible hacerlo con Gmail.

Dispositivos seguros

El proceso de compra por Internet comienza por la navegación hasta encontrar el producto que deseas en una web. A partir de ahí, como hemos visto, se produce todo el procedimiento de compra digital. Por lo tanto, el uso de un dispositivo informático para navegar es imprescindible.

Hay múltiples dispositivos que pueden utilizarse para navegar por Internet: smartphones, tablets, ordenadores portátiles, ordenadores de sobremesa, etc. Todos ellos requieren un navegador para explorar las páginas web de las tiendas donde realizar las compras: Chrome, Firefox, Edge, etc.

La principal recomendación es que utilices un dispositivo personal y no compartido con ninguna otra persona. Si el dispositivo está compartido, es posible que se dejen archivos después de la navegación y la compra, que podrían explorarse por otros usuarios con la consecuente brecha de privacidad.

Si se utiliza un dispositivo compartido, se recomienda que cada usuario tenga su perfil propio protegido con contraseña, sin que el resto de usuarios tenga posibilidad de acceder a dicho perfil.

Si no es posible tener un perfil propio protegido por contraseña, se recomienda utilizar el modo incógnito o de navegación privada de los navegadores, para que al finalizar la sesión todos los ficheros creados por el propio navegador se eliminen.

Navegación en redes seguras

Las webs pueden ser muy seguras y garantizar una alta privacidad, pero si estás usando una red inalámbrica que no es segura, estás dejando que cualquier atacante pueda ver lo que estás haciendo.

El primer consejo es no utilizar redes públicas. Tampoco son seguras las redes WiFi que ofrecen gratis los establecimientos, cafeterías u otros comercios. Estas utilizan redes con seguridad, pero que se expone públicamente la clave, de tal manera que cualquiera puede conocerla y acceder a dicha red.

Mejor usar nuestra red propia con seguridad y control de acceso, para garantizar que no hay atacantes en dicha red que puedan espiarnos.

 

Sin embargo, si no podemos utilizar nuestra propia red, tenemos algunas opciones para evitar el problema de utilizar una red WiFi que podría no ser segura.

1 |  Crear una WiFi a partir de los datos de tu teléfono móvil: utilizando tu smartphone puedes crear una red WiFi con una clave que sólo tú sepas y utilizar el propio smartphone para acceder a Internet, garantizándote que ningún otro dispositivo estará utilizando dicha WiFi.

2 |  Utilizar una VPN: las Redes Privadas Virtuales (VPN, por sus siglas en inglés) permiten crear una conexión segura dentro de una red pública mediante una conexión encriptada con un servidor remoto que se encargará de tramitar las peticiones que hagamos.