MENÚ

Qué son los sellos de confianza online, cómo comprobar si un enlace es malicioso y timos a través de PayPal: llega el 18º consultorio de Maldito Timo

Publicado
Comparte
Etiquetas

¡Hola, malditas y malditos! Estamos en época de compras navideñas y ofertas, por lo que en este consultorio nos vamos a centrar en resolver dudas sobre compras online. Lo primero, ¿sabes qué es un sello de confianza? Son acreditaciones que consiguen los comercios electrónicos para demostrar la calidad y seguridad de sus páginas web. Si lo tienen, nos podemos fiar un poquito más… aunque ojo porque es posible que algunas tiendas falsifiquen estos sellos.

También os traemos una guía para comprobar si un enlace es fraudulento o no. Spoiler: no es suficiente con que la página empiece por “https”. Por último, hablamos sobre los timos que nos pueden colar al realizar un pago a través de PayPal, uno de los métodos de pago más seguros. Cuidado si el pago lo realizamos como donación o con la opción de “amigos y familiares”, porque no podremos reclamar a la compañía en caso de fraude.

Recuerda que puedes mandarnos cualquier duda a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos a ello!

Qué son los sellos de confianza en el comercio online y cómo nos ayudan

A la hora de comprar online, hay varios elementos en los que podemos fijarnos para saber si estamos introduciendo nuestros datos personales y bancarios en una web segura. Por ejemplo, comprobar si la tienda cuenta con un sello de confianza online. Como explica la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE), las marcas o plataformas muy conocidas ya aportan la confianza suficiente a los usuarios para comprar por internet. Pero en comercios o marcas menos conocidas “es recomendable aportar una garantía extra para dotar de mayor fiabilidad al sitio web”. Aquí es donde entran en juego los sellos de confianza.

Los sellos de confianza son, básicamente, acreditaciones. Que una web tenga un sello quiere decir que detrás hay una empresa legítima que quiere demostrar a los usuarios que se preocupa por su seguridad. Significa que “sus procesos han sido revisados y validados por un tercero reconocido frente a un conjunto de buenas prácticas”, señala la OSI. Entre otros, el organismo menciona sellos como el de AENOR, Confianza Online, iCERT o Trusted Shops.

Para los comercios online obtener un sello es algo opcional y voluntario, pero para conseguirlo deben demostrar que cumplen los requisitos que exige el sello. Tiziana Tallaro, directora general de Confianza Online, explicó en la Maldita Twitchería que para que los comercios obtengan el sello de esta asociación deben aplicar su código de conducta, que se basa en cuatro pilares: la protección de datos personales, la protección de menores y adolescentes, la revisión de la publicidad digital y las buenas prácticas en la contratación electrónica con consumidores.

Tallaro afirma que, cuando un comercio solicita el sello, realizan una evaluación jurídica de la web y elaboran un informe donde recogen las recomendaciones para que la empresa se adapte al código de conducta. En esa evaluación inicial, según Tallaro, no sólo se tiene en cuenta la normativa general de consumo y de protección de datos, sino también leyes específicas que puedan afectar a un sector en concreto —como el sector financiero o el turismo—.

Para el usuario, el hecho de que una empresa cuente con un sello de confianza significa que no es necesario que haga tantas comprobaciones para saber si la tienda es de fiar o no: la empresa certificadora ya ha hecho ese trabajo previamente. Pero, ¿dónde se encuentra este sello? Según señala la OSI, los sellos suelen colocarse en el pie de la página junto a otros textos legales. Si no se encuentra ahí, es posible que se haga referencia a él en el documento de “Aviso Legal” o en los “Términos y condiciones”, según indica Tallaro.

Ejemplo de los sellos de confianza en la web Cosmeticos24h.com

Pero ojo, la OSI advierte de que es posible que algunas tiendas fraudulentas falsifiquen estos sellos para ganarse nuestra confianza y timarnos. Si hacemos clic en el sello y no nos dirige a ninguna parte o si tenemos dudas, podemos usar los buscadores de las distintas entidades para comprobar si realmente esa tienda cuenta con el sello de confianza. También podemos avisar a la empresa certificadora sobre el sello falso.

Cómo comprobar si un enlace es malicioso o no

Para evitar que nos la cuelen es imprescindible revisar los enlaces que nos llegan. En este sentido, la OSI ha elaborado una guía para comprobar si un enlace es malicioso o no. Antes de nada, debemos reflexionar sobre cómo nos ha llegado ese link. ¿Es una web a la que hemos llegado navegando por internet? ¿O nos lo han mandado a través de correo electrónico, WhatsApp, SMS, redes sociales…? Sea como sea, debemos ser cautos porque los timadores pueden infectar nuestros dispositivos o hacerse con nuestros datos personales con tan sólo un enlace.

El primer paso es comprobar si el enlace que nos ha llegado empieza por “https”. Ojo, que la página web empiece por “https” no quiere decir que sea legítima, como ya os explicamos en Maldita.es. Lo que indica es que esa web cuenta con un certificado SSL/TLS y que las comunicaciones con esa web son seguras y están encriptadas. Es decir, cualquier información personal que envíes, como contraseñas o números de tarjetas de crédito, estará protegida y no podrá ser vista por otras personas.

Si ya hemos accedido a la página, podemos chequear ese certificado digital que tiene la web. Si pinchamos en el candado que aparece al lado de la dirección web “https”, nos aparece información sobre cuál es la empresa que certifica el sitio web otorgando certificados SSL y TLS. No obstante, a día de hoy, los ataques de phishing pueden darse en páginas que empiezan por “https” y que tienen el certificado, por lo que son necesarias otras comprobaciones para saber si estamos en una web fiable o no. *

El siguiente paso es fijarnos bien en los caracteres del enlace y verificar que corresponde a la web oficial de la entidad. La OSI explica que los atacantes intentan engañarnos usando enlaces que se parecen mucho a las páginas web legítimas, pero introduciendo pequeños cambios. A esta técnica se la conoce como cybersquatting y en la siguiente imagen podemos ver un ejemplo:

Comparativa entre la URL fraudulenta y la oficial de Abanca

También debemos revisar la web a la que te dirige el enlace antes de pinchar. ¿Cómo podemos hacer esto? Si estamos en un ordenador, podemos poner el cursor encima del enlace sin pinchar sobre él. Si estamos en un smartphone o tablet, podemos pulsar sobre el enlace varios segundos para ver la dirección web a la que nos llevará ese link.

Cuidado, que los enlaces pueden llevarnos a páginas diferentes a las que aparecen escritas en el mensaje. Por ejemplo, una lectora de Maldita.es recibió un supuesto enlace de Booking para hacer una reserva de un piso. Pero, aunque en apariencia el enlace dirigía a la web oficial de Booking (booking.com), en realidad el link llevaba a una web fraudulenta.

Comparativa entre el texto del enlace y el enlace real

El siguiente paso es prestar atención al final del enlace. “Lo más habitual es que una web termine en .es si estás consultando servicios de ámbito nacional o .com para empresas a nivel mundial”, explica la OSI. Por ejemplo, si supuestamente estás navegando por la web de Stradivarius desde España y los contenidos están en español, es sospechoso que la extensión de la web sea .ru. Y cuidado con la terminación .exe o .zip ya que suelen estar asociadas con archivos descargables que podrían contener malware.

Y, ¿qué pasa si el enlace que te ha llegado está acortado? Los atacantes podrían ocultar así la dirección web fraudulenta. En este artículo, explicamos qué precauciones podemos tener en cuenta: copiar la dirección y pegarla en un ordenador con antivirus para observar el enlace completo o usar herramientas como Unshorten.it (que nos permite conocer la dirección original a la que lleva el enlace).

Si sigues teniendo dudas después de tomar todas estas precauciones, puedes utilizar un analizador de URL y archivos como URLVoid, VirusTotal o la extensión WoT safe Browsing Tool. En este artículo encontrarás más consejos sobre en qué puedes fijarte para saber si estás registrando tus datos en una web segura.

Cómo te la pueden colar con pagos a través de PayPal

PayPal, como plataforma intermediaria, es uno de los métodos de pago más seguros a la hora de comprar por internet, como hemos explicado en Maldita.es. Primero, porque no se comparten los datos de tu tarjeta directamente con el vendedor, sino que es la plataforma quien realiza el cobro. Segundo, porque PayPal puede reembolsar el monto total de una compra si el artículo que pedimos no nos ha llegado o no coincide con la descripción del vendedor. En su página web detallan qué casos están cubiertos por esta protección al comprador. Ahora bien, la cosa cambia si el pago que hacemos a través de PayPal es un pago a “amigos y familiares” o es una donación.

A través de nuestro Buzón de timos ([email protected]), Marta, una lectora de Maldita.es, nos explicó cómo la timaron al intentar comprar unas entradas de reventa para un concierto. Contactó con el supuesto vendedor tras ver un anuncio en redes sociales. El falso vendedor le dijo que podía hacer el pago a través de PayPal, pero pinchando en la opción “amigos y familiares”. Supuestamente, necesitaba hacerlo así para evitar la retención del pago.

Conversación entre la víctima y el timador

Cuando mandas dinero a un contacto, la aplicación de PayPal te pide escoger el tipo de pago que vas a hacer: si quieres pagar por un producto o servicio o si es un pago a amigos y familiares, donde la protección al comprador no se aplica.

Captura de los tipos de pago en la aplicación PayPal

Marta escogió la segunda opción y, por lo tanto, no pudo reclamar el pago a PayPal a pesar de que se trataba de un timo. La propia compañía aconseja que, cuando enviemos dinero a través de PayPal para comprar artículos a personas que no conocemos (por ejemplo, artículos vendidos en Facebook Marketplace), debemos escoger la opción “productos y servicios” como tipo de pago. De esta forma, “la transacción puede estar cubierta por los programas de protección de PayPal en caso de que el vendedor resulte ser un estafador”, explica la empresa. Y añade: “Evite enviar dinero a través del tipo de pago Amigos y familiares, ya que no está diseñado para intercambiar dinero con extraños”.

El Instituto Nacional de Ciberseguridad (INCIBE) describe otro método de timo a través de PayPal: realizar un pago como donación. El organismo relata el caso de una usuaria que compró un vestido en una página web fraudulenta haciendo uso de la plataforma de pagos. Al enviar el dinero en concepto de donativo, no pudo reclamar el dinero a PayPal.

Si hemos caído en esta trampa, el INCIBE recomienda recopilar todas las evidencias posibles del timo y denunciar ante la Policía Nacional o la Guardia Civil. También es aconsejable contactar cuanto antes con PayPal para informarles de lo sucedido y tratar de cancelar la transacción. Si hemos facilitado datos personales en la compra, debemos revisar periódicamente la información que está publicada sobre nosotros en internet —una práctica que se conoce como egosurfing— y reclamar ante la Agencia Española de Protección de Datos (AEPD) si se está haciendo un uso indebido de nuestros datos.

Y para terminar…

Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!

Maldito Timo cuenta con el apoyo de:

*Este artículo se ha actualizado el 1/12/2023 para matizar que sólo se puede consultar el certificado digital de una página si hemos accedido a la misma.