…Cuantas veces te habrás encontrado en la situación de ver algún producto o servicio por Internet y has pensado más de diez veces antes de coger tu tarjeta de crédito y pagar por aquello que tanto has querido, que simplemente te fascino o por ese servicio que necesita ser cancelado a tiempo (y no estamos hablando de los servicios de pago por Internet que ofrecen la gran mayoria de bancos), incluso usando tu computadora, la computadora de la oficina o algún anónimo terminal de alguna cabina de Internet (Cibercafés en algunos lugares del mundo) es bueno saber que existen una serie de normas que te librarán de ser objeto de algun fraude por Internet. En lo personal jamás compraría nada por Internet desde un equipo ajeno, por seguridad, la posibilidad de que alguien haya instalado algún software malicioso como un keylogger u otra cosa nunca es igual a cero (aunque con tantos troyanos y virus informáticos por ahi sueltos ni siquiera tu propia PC esta libre de haber sido comprometida), por eso que siempre es recomendable seguir las siguientes recomendaciones básicas para el correcto uso de Internet, las cuales van desde mantener actualizado tu sistema operativo (sea este él que fuere), pasando por tu navegador web y terminando en tu antivirus (¿Qué no tienes antivirus?… a menos que uses GNU/Linux eso si es una irresponsabilidad de tu parte déjame decirte); luego de estar 100% seguro de que todo tu sistema está al día con las últimas defensas o «parches» nos aseguraremos de no estar navegando por lugares de dudosa reputación (si, en Internet también existe eso) como páginas de pornografía, sitios de descarga de warez o descargas de programas de prueba de lugares desconocidos, incluyendo como no a esas fabulosas páginas desde donde prometen enseñarte a «romper» contraseñas de Hotmail o Yahoo y terminando en las páginas desde donde puedes descargar – previo ingreso de tu cuenta y contraseña de Hotmail, por amor de Dios – esos famosos programas casi mágicos que te permitirán mostarte quien de tu lista de contactos del MSN Messenger te tiene bloqueado (eso es un tipo de Ingeniería Social o Hacking Social, tópico que trataremos en posteriores entregas).
Todos aquellos lugares son conocidos como «de alto riesgo» debido a que se desconocen las reales intenciones de sus creadores. Lo ideal es navegar por sitios que posean certificación electrónica de alguna entidad emisora como Verisign o CAcert.org las cuales responden por la seriedad de las empresas que están detrás de los mismos.
Una vez cubiertos todos los puntos pendientes, desde el sistema puesto a punto y actualizado asi como la navegación responsable, recién estaremos en condiciones de poder realizar una transacción electrónica segura (al menos desde nuestro lugar, esto es, el terminal que usemos para navegar en Internet). Es evidente que las compras las vas a realizar en lugares reconocidos y serios, para averiguar sobre la seriedad de un lugar existe algo llamado feedback, el cual esta basado en experiencias de usuarios (el mismo nombre lo sugiere) y al cual puedes acceder simplemente preguntándole a Google acerca de determinado servicio o empresa – un ejemplo podria ser «usuarios de wong via internet» y ver que resultados arroja – de esa manera sabremos si aparte de ser una empresa que tiene certificación y todo eso además también es sería en el cumplimiento de sus entregas.
Una cosa que siempre es bueno saber es que toda transacción con tarjeta de crédito por Internet sigue con el estandar PCI-DSS y las empresas que aceptan pagos por este via deben cumplir con las prácticas establecidas en este estándar, al menos eso se espera en un mundo ideal, pero como este no es un mundo perfecto debemos decir que no sólo basta con que tu asegures tu información «sensible», como tu número de tarjeta de crédito, tu contraseña o tu clave CVV de la misma, ya que esto también debe cumplirse por el lado de la empresa que recaba la información. Estas prácticas recomendadas y en algunos casos obligatorias incluyen canalizar toda la transacción a través de protocolos seguros (HTTPS o SSL), encriptar los datos de los clientes y sus contraseñas, no almacenar más alla de un determinado período de tiempo la información crítica ligada a cada tarjeta de crédito (esto es la contraseña y el código CVV), limitar el número de empleados que acceden a esta información crítica a la menor cantidad de personas posibles dentro de la empresa que recibe el pago así como implementar canales seguros de comunicación entre las empresas que ofrecen el servicio de compra por Internet y sus socios de negocios.
A propósito de esto hace poco RSA realizó una encuesta sobre las irregularidades que algunas empresas cometen en el manejo de la seguridad de los datos de las tarjetas de crédito en Latinoamérica (el panorama en Norteamérica es más alagüeño ya que a diferencía de Latinoamérica ahi ya venció el plazo de implementación de PCI-DSS), arrojando unos preocupantes resultados al respecto, ya que de un total de 164 empresas que tomaron la encuesta se supo que sólo el 47% sabía de estas prácticas encuadradas dentro del estándar PCI-DSS, mientras que un preocupante 48% las desconocía en lo absoluto. Dentro de ese 47% de empresas conocedoras del estándar un 74% ya había tomado las medidas del caso para implementarlo mientras que un 18% no había hecho absolutamente nada. Entre las empresas que estaban implementando las normas un 35% se encontraba muy cerca de finalizar las implementaciones y mejoras en favor de la seguridad de los datos de sus reales y posibles clientes, un 12% las implementaría completamente en el plazo máximo de un año, un 17% en dos años como máximo en tanto que un 16% no tenía una fecha límite para terminar con la implementación de la seguridad para con la información de las transacciones electrónicas. Podría seguir dándote más cifras en base a la encuesta antes mencionada, como que de el 100% de las empresas que respondieron la encuesta (tanto quienes si cumplen con PCI-DSS o están en vias de cumplirlo cabalmente como aquellas que nunca oyeron hablar de él) sólo un 46% cifra los datos recogidos mientras que un 49% no lo hace, o que la información almacenada se reparte entre Bases de Datos (37%), aplicaciones internas (34%), Sistemas de Punto de Venta o POS (24%), Sistemas de Almacenamiento (21%), Directorios y archivos en los servidores que procesan las transacciones (12%) o otros como Hojas de Calculo (12%) y correo electrónico (9%); pero toda esa información estadística al final no nos va a asegurar que tan fiable es quien va a recibir el número de nuestra tarjeta de crédito y sus respectivos valores de autenticación (contraseña y CVV), así que a manera de resumen recomendaría comprar desde sitios reconocidos y de absoluta confianza así como mantener una estricta política de compras por Internet evitando esas pseudo-ofertas y si las compras van a ser a empresas Latinoamericanas ver la manera de averiguar si estas cumplen cabalmente con PCI-DSS.
Desde este enlace puedes descargar la encuesta de RSA en formato PDF.
Aca tienes un enlace a un buen antivirus free, el AVGfree Edition 8.0.
Saludos
Rafael
Escrito por alphaser 
ALPHASER 