Como ya todos saben, este 2020 creció considerablemente el tiempo que dedicamos al uso de dispositivos conectados. Este fenómeno se dio como nunca se había visto. A los pocos meses de haberse decretado las cuarentenas en los diferentes países, reportes globales y locales daban a conocer datos que demuestran el crecimiento del tráfico en Internet. Y todo este crecimiento sumado al COVID-19 provocaron que los usuarios se vuelquen más a las compras online.

Si bien servicios no esenciales como el turismo fueron de los más perjudicados, la demanda de otros productos aumentó a nivel global. Algunos negocios y emprendimientos ya estaban preparados para el comercio electrónico, mientras que a otros los tomó a mitad de camino y en algunos casos tuvieron que iniciarse a la fuerza, experimentando por primera vez y sin tener conocimientos suficientes sobre aspectos de seguridad. Esto último incrementó el riesgo de estafas.

De hecho, según datos de una encuesta realizada por ESET durante el último mes, el 72% de los usuarios opinó que los negocios no estaban preparados para realizar la transición a plataformas digitales y el 83% opinó que el apuro por necesitar adaptarse a las ventas online vino acompañado por un mayor riesgo para la seguridad de los usuarios. Asimismo, el 76% de los encuestados considera que la filtración de datos personales de los clientes es el principal peligro que enfrentan los usuarios para realizar compras online.

Lectura relacionada: Millones de contraseñas robadas se ofrecen a la venta en la dark web

Pero lamentablemente, los delincuentes también estuvieron atentos a este fenómeno y los casos de fraude, ataques de phishing, sitios web comprometidos, y perfiles falsos también creció. Si bien los delincuentes suelen utilizar estrategias ya conocidas, las mismas continúan siendo efectivas.

De acuerdo con los casos que repasado y analizado, las estafas y ataques en torno a las compras en línea se dan por un lado en grandes plataformas conocidas, como MercadoLibre, pero también en tiendas online creadas por empresas y emprendedores. Por otra parte, el escenario quedó abierto al uso de tecnologías alternativas, como el uso de WhatsApp o redes sociales para comprar y vender. De hecho, según la encuesta realizada por ESET la gran mayoría de los usuarios asegura que notó que los negocios implementaron nuevas herramientas para la venta en línea durante el 2020.

Ante este escenario, es importante que los usuarios estén atentos y aprendan a reconocer una estafa en Internet y tomen nota de estos consejos para realizar compras online seguras. Por su parte, las empresas y tiendas online también deberán estar atentos, sobre todo en fechas especiales como el BlackFriday.

Creció la cantidad de empresas que se volcaron a la venta online en tiempos de pandemia

Antes de entrar en el tema de las estafas, repasando los números en distintos países de iberoamérica, en México, datos de la Asosiación Mexicana de Venta Online revelan que este año 6 de cada 10 PyMEs se volcó a las ventas por Internet, mientras que en 2019 la cantidad llegaba a solo 3; un aumento que en términos porcentuales fue del 94%. Y para comprender el factor de la pandemia, 2 de cada 10 PyMEs que comenzaron a vender a través de Internet lo hizo a raíz de la cuarentena.

En Argentina, datos de la Cámara Argentina de Comercio Electrónico publicados en agosto de este año hablan de que el incremento de la facturación del comercio electrónico en el primer semestre fue del 106% en comparación con el mismo período de 2019. En España ocurrió algo similar. Datos de la Comisión Nacional de los Mercados y la Competencia (CNMC) aseguran que el crecimiento del comercio electrónico a partir de marzo aumentó hasta un 70%, mientras que en algunos sectores la cifra fue superior. De acuerdo a cifras de una encuesta realizada por la CNMC, una de cada dos personas dijo haber aumentado su frecuencia de compra en plataformas online durante la cuarentena.

¿Qué pasará con el comercio electrónico una vez que termine la pandemia? De acuerdo con los datos recopilados por ESET, el 74% de los usuarios cree que una vez que se vuelva a la normalidad los hábitos de consumo se mantendrán orientados a las plataformas digitales.

Varias advertencias sobre crecimiento de estafas alrededor de las compras en línea

A nivel internacional, distintos organismos emitieron alertas a lo largo de este 2020 advirtiendo acerca del incremento de los engaños y estafas en compras online. En España, a mediados de abril las estafas por Internet habían aumentado en un 70%, afirman datos de la Guardia Civil, mientras que en Argentina, en julio el aumento de los delitos por Internet era del 50%, aseguran datos  de la  Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).

Como decíamos, las estrategias y técnicas utilizadas por los criminales a nivel global no son nuevas. El FBI, por ejemplo, en agosto publicó una alerta en la que explica que registraron un aumento en la cantidad de denuncias. Por ejemplo, de víctimas a las que no le llegaron los productos que compraron, personas que reportan que fueron dirigidas a sitios a través de anuncios en redes sociales luego de buscar en sitios de compras online.

Muchas denuncias hacen referencia a sitios falsos cuyo contenido había sido copiado de sitios legítimos y que utilizaban dominios que en lugar de ser .com eran “.club” o “.top”. Por otra parte, que esos sitios habían sido registrados recientemente y de manera privada para evitar divulgar información personal de sus registrantes, y que muchos de estos falsos sitios se promocionaban a través de anuncios en redes sociales, explica el FBI.

Lectura relacionada: Phishing a través de anuncios de Facebook busca robar datos de tarjetas de crédito

Ejemplos de estafas y ataques orientados a las compras en línea

Mediante estrategias como el uso de anuncios falsos en plataformas sociales, campañas de phishing, perfiles falsos en plataformas de comercio electrónico o ataques de web skimming, los cibercriminales buscan robar dinero, los datos de tarjetas de crédito, contraseñas u otro tipo de información personal.

Entre los casos que se reportaron en medios de Argentina, México, Colombia, Perú o España, una usuaria denunció que a través de MercadoLibre compró una computadora y le enviaron una botella. En otro caso un usuario a través de la misma plataforma compró un teléfono celular y le enviaron una piedra. Pero también los vendedores han sido víctimas. Según publicó Infobae, un vendedor de un teléfono no solo perdió el equipo, sino el dinero de la venta. La mayoría de las veces los estafadores se aprovechan de vulnerabilidades humanas, ya sea por desconocimiento o inexperiencia de los compradores y vendedores. Estos errores van desde no comprobar la identidad de la persona que realiza la compra o continuar la operación por fuera de la plataforma donde se realiza la transacción, quedando en estos casos el vendedor sin el respaldo de la plataforma.

Sitios de compra online comprometidos por ataques de web skimming

Además de las compras y ventas realizadas a través de plataformas como MercadoLibre o Amazon, por nombrar algunas de las más conocidas en los países de Iberoamérica, también existen otras plataformas para crear tiendas online utilizadas por empresas o emprendedores para comercializar sus productos.

Pese a que según los datos de la encuesta realizada por ESET el 74% de los usuarios cree los pequeños comercios son un blanco que interesa a los cibercriminales y el 79% cree que la información que los cibercriminales pueden obtener de pequeños comercios es valiosa, las pequeñas empresas muchas veces no se detienen a pensar lo suficiente los riesgos de seguridad que existen o creen que no son un blanco atractivo para los criminales por el tamaño de su negocio.

Sin embargo, muchas tiendas creadas mediante plataformas como Magento, Prestashop, Shopify, Woocomerce, Wix Stores o gestores de contenidos con WordPress, han sido víctimas a lo largo de los últimos años —incluido este 2020— de ataques conocidos como web skimming o Magecart. Para realizar este tipo de ataque los cibercriminales comprometen el sitio e inyectan código malicioso con el objetivo de robra los datos de las tarjetas de crédito durante el proceso de compra, ya sea para realizar transacciones en su nombre o para comercializar luego estos datos en el mercado negro.

En julio, por ejemplo, se conocía una campaña de web skimming global que comprometió más de 550 tiendas online para robar datos de las tarjetas, muchas de las cuales eran de países de América Latina y también de España. En esta campaña las plataformas de ecommerce utilizadas por las víctimas era en el 85% de los casos Magento, aunque algunas de las tiendas online comprometidas utilizaban Shopify, BigCommerce y PrestaShop, además de WordPress. Además de este caso, en septiembre se conoció otro ataque de web skimming que afectó a más de 2.800 tiendas online que utilizaban una versión desactualizada de Magento.

Lectura relacionada: Magento lanza parche que repara dos vulnerabilidades críticas

Para realizar estos ataques los cibercriminales aprovechan vulnerabilidades tanto en las plataformas como en los plugins desactualizados utilizados por los propietarios de los sitios. En muchos casos también se han registrado ataques de inyección de SQL.

En cuanto a las vulnerabilidades en plugins para plataformas como WordPress, este año hemos dado a conocer cuatro casos de ataques y fallos de seguridad alrededor de estos complementos, como fue el caso de la vulnerabilidad en el plugin de Chat de Facebook para WordPress, la vulnerabilidad crítica en el plugin ThemeGrill Demo Importer, la vulnerabilidad en el plugin File Manager que registró millones de intentos de ataque, o el importante fallo que se descubrió en octubre en el plugin Loginizer.

Es importante que las empresas que cuenten con el servicio de un carro de compras en su sitio tengan sus sistemas actualizados y que analicen las medidas de seguridad que implementan para evitar ser víctimas de un ataque de este tipo.

Denuncias por engaños mediante el pago a través de código QR

Otra modalidad de engaño que hemos visto es mediante el uso del código QR como método de pago. Según datos de la encuesta, el 35% de los usuarios se siente seguro utilizando el sistema de escaneo de código QR, mientras que un 44% considera que puede ser fácilmente alterado. Y esto último es lo que han denunciado varias víctimas a través de las redes sociales.

Un usuario contó que fue estafado por un supuesto vendedor dentro de Mercado Libre que canceló las compras realizadas por el denunciante indicando que el pago debía realizarse a través de MercadoPago. Acto seguido, enviaron a través de correo electrónico o mediante un servicio de mensajería un código QR para que realice el pago, el cual resulta ser falso. La consecuencia: el supuesto vendedor robó el dinero y la víctima no recibió el producto. 

Recomendaciones para evitar ser víctima de un incidente

  • En primer lugar, si la plataforma donde realizarás la compra no la conocías previamente, verifica que trata de un sitio legítimo. Para ello puedes revisar sus redes sociales y leer comentarios de otros usuarios que hayan comprado. Comprueba además que los comentarios son de usuarios reales y no de perfiles falsos. También puede revisar en el directorio de Whois quién registró el dominio; sobre todo que la información del registrante aparezca visible.
  • Sospecha de las ofertas que son demasiado buenas, como precios demasiado bajos en comparación con lo que ofrecen en otras tiendas. Lo mismo con las ofertas que llegan a través de canales alternativos, como WhatsApp.
  • Cuidado con los anuncios falsos en redes sociales. Verifica que el sitio al cual eres dirigido sea legítimo.
  • Si realizas una compra en una plataforma conocida, evita continuar la operación o enviar información personal por fuera de la plataforma, ya que estarás sin el respaldo que ofrecen en casos de fraude o reclamos.
  • En el caso de comprar en una plataforma conocida, revisa la reputación del comprador y vendedor. Si eres quien vende, verifica los datos de la persona que compra antes de entregar el comprobante.
  • En caso de pagar con código QR, asegúrate de que el mismo sea legítimo y desconfía si te envían el código por un medio alternativo o a través de una cuenta de correo sospechosa.
  • Utiliza contraseñas fuertes y únicas, evitando utilizar claves que ya han sido utilizadas para acceder a otras cuentas o servicios online.
  • Utiliza una solución de seguridad confiable en tus dispositivos.
  • Si eres una empresa, verifica que los plugins y plataforma que utilizas corre la última versión.