👉 HAZTE MALDITO. HAZTE MALDITA. Únete y apóyanos en nuestra batalla contra la mentira. Hazte [email protected]
Maldita Tecnología
07/07/2020

Protección frente a estafas, la huella y los bancos y nativos digitales: todo incluido en el 9º consultorio tecnológico de Maldita

¡Hola, malditas y malditos! Os traemos como cada martes una nueva entrega de nuestro consultorio tecnológico. Hoy te hablamos de la huella para acceder a las apps del banco, cómo protegerse de estafas cuando hacemos compras online y también de la teoría de que la gente nacida a partir de los 80 o 90 sabe más de tecnología.

Para lo demás, podéis escribirnos a través de Twitter, de Facebook, por correo electrónico ([email protected]) o a través de este formulario. ¡Vamos a ello!

¿Cómo protegerse de las estafas al hacer compras online?

Imaginamos que muchos de vosotros habréis recibido algún mensaje de phishing durante la cuarentena y alguna que otra mala experiencia al comprar por Internet. El terreno online también es hostil para las compras: no tienes a alguien que se tirará de los pelos contigo por una bandeja de palitos de cangrejo pero sí que puedes esperarte que haya ciberdelincuentes aprovechándose de enlaces infectados y del desconocimiento sobre el funcionamiento de las páginas web.

De ahí que nos hayáis preguntado por medidas que podemos tomar para protegernos a nosotros y a nuestros dispositivos a la hora de completar compras online. Empezaremos por deciros que los casos de phishing están a la orden del día con el tema de las ofertas y las promociones estrellas, así que aquí te dejamos algunos consejos para hacer frente a esta práctica concreta.

En cuanto al proceso de búsqueda de productos y compra en sí, la Oficina de Seguridad del Internauta (OSI) del INCIBE tiene todo un repertorio de artículos con los que equiparse para hacer transacciones de este tipo en Internet. Desde cómo hacer pagos con el móvil a cómo gestionar reclamaciones por productos defectuosos.

En cuanto a las medidas a tomar para protegernos de fraudes y posibles ataques a nuestros dispositivos, la OSI recomienda fijarse en puntos clave de la página web: buscar el Aviso Legal y la Política de Privacidad de la empresa (que normalmente se listan abajo del todo), así como su Número de Identificación Fiscal (NIF) y un sello de confianza. También hacer caso a nuestro sentido común: ¿es normal que un producto que cuesta 100 euros en todas partes de repente lo encuentres por 20?

Página principal de Amazon, uno de los marketplace más populares y conocidos del mundo.

Hemos preguntado por algunos consejos, además, a una de nuestras malditas del campo de la ingeniería informática, Mar Arribas, quien además es cibercooperante del Instituto Nacional de Ciberseguridad. Arribas nos da cuatro pistas básicas que van en línea con las pautas de las guías de la OSI:

  1. Asegurarse de que la web utiliza HTTPS. En caso de que no lo haga, cualquier navegador actual nos avisará en la barra de dirección. Usar HTTPS no implica que la tienda sea segura pero si que es un punto necesario.
  2. Comprobar si la tienda tiene un local presencial. Esto no es un requerimiento, algunas tiendas online legítimas no tienen local presencial, pero suele ser una garantía que haya uno. Tener un local suele implicar estar registrado como comercio, mientras que cualquiera puede tener una web.
  3. Comprobar la antigüedad de la web. Normalmente las webs hechas como estafa son nuevas y se eliminan cuando ya han picado suficientes personas y se ha destapado que es una estafa. Si la tienda tiene ya una larga vida, es más probable que sea legítima. Para ello podemos buscarla en redes sociales, donde podemos comprobar cuándo fueron creados los perfiles, cuántas publicaciones tiene y lo más importante: qué han escrito los usuarios.
  4. Comprobar las críticas de otras compradoras. Estas críticas no deben estar en la propia web del comercio, donde es fácil falsificarlas. Debemos buscar en redes sociales, foros y otras webs de terceros que opina la gente que ha comprado.

Arribas avisa de que aún quedaría otro punto importante en el que fijarse: las garantías de pago. Si tenemos dudas de la tienda, nos aconseja usar un intermediario de pago, como es el caso de PayPal, que al menos puede ofrecernos garantías de que si hemos sido víctimas de una estafa, podemos tratar de recuperar el dinero.

Infografía en la que se explican los diferentes métodos de pago existentes con sus pros y sus contras
Infografía sobre los métodos de pago de la Oficina de Seguridad del Internauta.

La huella para acceder a apps del banco: ¿El banco tiene ese dato o solo el móvil?

A la aplicación para móviles del banco se puede acceder con un código pin, que es la opción por defecto, pero muchas permiten ingresar usando la huella dactilar. De ahí ha surgido la siguiente duda que nos habéis hecho llegar: ¿esa huella la guarda el banco en cuestión o nuestro dispositivo? Los datos biométricos son especialmente sensibles debido a la manera inequívoca que tienen de identificarnos, y tienen que guardarse y tratarse con mayor cautela que el resto de información.

Hemos consultado las políticas de privacidad de algunas entidades bancarias para comprobar que especifiquen el tratamiento de este dato o no. En el caso de Caixabank, por ejemplo, hablan de la huella dactilar directamente en su Política de Privacidad para avisar de que al registrarla en la app autorizamos al banco a crearla y guardarla en sus ficheros. Según el documento, guardan la huella hasta que termina la contratación de sus servicios y se usa, principalmente, a efectos de autenticación del cliente.

“El patrón biométrico se ha protegido mediante la aplicación de varios algoritmos de cifrado; en ningún caso será posible la reconstrucción de la huella digital a partir del patrón biométrico obtenido”, aseguran en la política.

BBVA también habla de la huella dactilar en su Política de Privacidad, pero esta vez para explicar que, en caso de utilizarla, se quedará encriptada en tu teléfono móvil (por lo que la seguridad del patrón biométrico queda sujeta al diseño de cada fabricante): “Esta funcionalidad técnica no es controlada por BBVA y depende exclusivamente del fabricante del dispositivo”.

Ejemplo de menú de huella digital en un dispositivo Android.
Ejemplo de menú de huella digital en un dispositivo Android.

Hay muchas otras aplicaciones bancarias que permiten el uso de la huella dactilar para autenticarse o completar transacciones pero que no incluyen esta función en su Política de Privacidad porque no la tratan directamente (se guarda en el dispositivo).

Hemos preguntado al Banco Santander por este tratamiento y nos confirman esto último: “El Banco no realiza ningún tratamiento de datos biométricos de clientes a través de sus aplicaciones informáticas, sino que las funciones de identificación y autenticación, mediante el uso de tecnologías de huella digital o reconocimiento facial, las realiza el sistema operativo del dispositivo móvil del usuario”, asegura un portavoz. 

En el caso de Bankia, más de lo mismo: esta información no aparece en la Política de Privacidad de la app sino en el Aviso Legal, otro documento legal obligatorio. El sistema de identificación no lo facilita ni lo gestiona Bankia, sino el fabricante del dispositivo móvil.

Hablando en términos técnicos, las funciones de identificación y autenticación a través de datos biométricos se llevan a cabo mediante capas de software que implementan los propios sistemas operativos. En cada dispositivo, ya sea de Android (Google) o de iOS (Apple), se localiza una especie de caja fuerte donde se guardan datos como el de la huella dactilar. Un banco como Santander no recibe el dato en sí, sino una clave de acceso a la caja, que la vincula con la aplicación, y que valida que lo que hay dentro es mi huella.

Diferentes puntos que caracterizan la huella dactilar. "Tecnologías biométrica saplicadas a la ciberseguridad", un informe del INCIBE.

Este informe del INCIBE de 2016 señalaba que una de las principales vulnerabilidades del uso de la huella dactilar es la “aceptación de muestras biométricas falsas como fotografías, dedos de goma, etc.” que permitiría una autenticación falsa al usarla o llevar a la suplantación de identidad. Además, desde la implantación del Reglamento General de Protección de Datos (RGPD) en 2018, esta categoría de datos tiene una protección especial (Artículo 9).

¿Por qué se dice que los jóvenes nacidos en la década de los ochenta o noventa saben más de tecnología?

Al conjunto de personas nacidas en torno a la década de los 80 ó 90 se las ha llamado durante mucho tiempo “nativos digitales”, porque se considera que por haber nacido en una época en la que las tecnologías digitales estaban en plena eclosión, saben más de su funcionamiento y del propio ecosistema de Internet (y sus principios y derechos). De ahí sale el típico chascarrillo de que los jóvenes saben más de forma natural y que la gente más mayor está obsoleta y no se entera de nada. Esto de cierto, no tiene mucho.

Si bien hay una relación entre el hecho de que las personas que han podido interactuar con dispositivos como smartphones, tablets o portátiles parecen adaptarse antes a su uso, existe multitud de literatura científica que desmiente que esto se produzca de manera “natural” o que las personas nacidas en esa década tengan una predisposición intrínseca para relacionarse con la tecnología digital.

Ahora, por ejemplo, existe legislación sobre derechos digitales, pero eso no significa que una persona que nace junto a un ordenador sepa que tiene ciertas protecciones amparadas en la ley o que conozca al dedillo cómo cuidar su privacidad cuando navega. Para eso, sigue faltando educación.

“Si los menores interactúan bien con los aparatos y entornos digitales es porque están pensados para que los usen niños pequeños. Su diseño responde al perfil de alguien que se cree capaz de cualquier cosa a golpe de ratón o pulsando el móvil”, escribe el doctor en Ciencias de la Comunicación Víctor Sampedro en su libro Dietética Digital.

via GIPHY

El término “nativo digital” lo acuñó el divulgador Mark Prensky en 2001 para hablar de esa nueva generación de personas que tenía acceso directo a la tecnología y lo aprovechaba (hasta el punto de incluirla en todos los aspectos de su vida), pero centrado en el ámbito de la educación. De ahí que el asunto del aprendizaje calara tanto. Previamente, en 1999, se hablaba de la “generación net” (que significa red en inglés).

En lo que coinciden muchos de los estudios realizados sobre este tema es que no hay una diferencia significativa entre lo que puede aprender un joven nacido en esa época con un adulto cuando se le pone frente a un sistema informático.

En 2017, un estudio que desmiente la teoría de los nativos digitales incidía en esta idea: no sólo no aprenden “mejor” o “más rápido” en la totalidad de los casos, sino que no destacan con la “multitarea” ni tienen capacidades para navegar de forma “consciente” y “eficiente”.

También se tiene en cuenta que la teoría se tambalea cuando hablamos de jóvenes que viven en sectores más desfavorecidos y sufren situaciones de exclusión y desigualdad, como pone de manifiesto otra investigación realizada en Colombia sobre educación infantil.

Aun así, hay muchos expertos que utilizan la expresión para referirse simplemente a las personas que han nacido en un período de tiempo determinado y que teóricamente están acostumbrados al uso de la tecnología digital. Un estudio analizó más de cien investigaciones y artículos referidos a los “nativos digitales” para concluir que es necesaria la precisión del término y también la definición de sus acepciones.

Antes de que os vayáis...

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo te informamos para que luego decidas cuál quieres usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

En este artículo ha colaborado con sus superpoderes la maldita Mar Arribas.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Otros artículos de Maldita.es