Evitar los skimmers, a los estafadores y delincuentes durante la temporada de compras en línea antes de las fiestas

El término “Cyber Monday” fue utilizado por primera vez en el año 2005 para describir lo que se convertiría en uno de los días de compras online más grandes del año, en que, a su vez, la gente comenzó a detectar los skimmers en los cajeros automáticos.

Colocados en la boca de los lectores de tarjetas de dichos cajeros, los skimmers sustraen primero la información de las cuentas bancarias, el PIN de los clientes y luego su dinero. En la última década, estos dispositivos electrónicos ocultos se han vuelto cada vez más delgados y sofisticados.

Aún así, un usuario informado es capaz de realizar una breve inspección y detectar un skimmer en un cajero automático, una bomba de gas o irregularidades en una máquina de tarjeta de crédito en el punto de venta.

Un nuevo tipo de skimmer

Los ladrones siempre andan tras el dinero y este año se espera que las ventas en línea alcancen casi medio billón de dólares sólo en los EE.UU. Debido a los montos de dinero en juego, es comprensible que un nuevo tipo de skimmer haya aparecido en los últimos años. Éste es imposible de detectar, por lo cual los criminales en cuestión están seguramente muy entusiasmados con el inicio de la temporada de compras navideñas online este año.

Los skimmers en línea apuntan exclusivamente a los sitios de comercio electrónico.

Impulsado por un grupo de delincuentes -o varios grupos de ciberdelincuentes- llamado Magecart, los skimmers digitales utilizan como truco un simple JavaScript que roba la información de la tarjeta de crédito mientras el comprador en línea intenta completar una compra. Al hacer clic en “Check Out”, sus datos son enviados al servidor de comando y control del atacante.

¿Cómo infectan los skimmers a los sitios de comercio electrónico?

Magecart comenzó a dirigir sus ataques a las tiendas online utilizando las herramientas de Magento – Software para comercio online -, localizando vulnerabilidades en la plataforma en la que ellos ingresaban su código. Los criminales no iban por una tienda en particular, sino que su objetivo era la plataforma en general.

En este último tiempo, el grupo ha buscado herramientas de terceros utilizadas por los sitios de comercio electrónico, incluyendo SocialPlus, una herramienta de análisis, e Inbenta, un servicio de chat.

Esto ha hecho que Magecart se haya convertido en un nombre conocido y que inmediatamente se asocia a hackeos de sitios importantes como Ticketmaster.com, Newegg.com y British Airways. Estos pirateos parecen estar muy bien planeados, lo que parece lógico teniendo en cuenta lo lucrativo que puede ser hackear los sitios de comercio electrónico más grandes del mundo.

¿Entonces qué puedes hacer para evitar el robo de datos?

Magecart hace difícil cumplir una de las piezas clave de las recomendaciones de compras en línea que los expertos en seguridad cibernética han hecho en los últimos años: el que usted apueste por minoristas de confianza y que vaya directamente a los sitios de dichos comerciantes para buscar y comprar, a fin de evitar estafas de suplantación de identidad – conocidas como phishing – y malos resultados de búsqueda.

Este es un buen consejo, especialmente cuando se trata de tomar conciencia para no hacer clic a ninguna URL en correos electrónicos no deseados. A pesar de esto, dado que los skimmers digitales son invisibles y se dirigen cada vez más a sitios de confianza de alto perfil, hoy en día es imposible estar completamente seguro de evitarlos con sólo apegarse a los minoristas conocidos.

La mejor manera de evitar los skimmers en línea es seguir uno de los consejos más simples de seguridad cibernética: sólo compre con un computador con software de seguridad actualizado y nunca efectúe sus compras en una red Wi-Fi pública sin tener un VPN en su dispositivo.

F-Secure detecta los scripts skimmer, bloquea las conexiones a los servidores de control y comando de Magecart y asimismo bloquea los rastros del JSObfuscator utilizado con frecuencia por los ciberdelincuentes, protegiéndole a usted de los trucos conocidos de este grupo.

Más consejos para evitar estafas en las compras online

Cuando se efectúan compras durante un momento estresante, en el que los ladrones suponen que es probable que se tomen decisiones rápidas y no bien pensadas, es exactamente ahí cuando la seguridad cibernética es lo más importante.

• Además de utilizar software de seguridad y un VPN con protección de navegación con el propósito de bloquear sitios maliciosos conocidos, el usuario debe crear claves fuertes y únicas para todo sitio de comercio electrónico en el que se abra una cuenta.
• Incluso cuando se limite a los minoristas de confianza en línea, no es nunca recomendable hacer una compra a menos que esté seguro de que está en el sitio web en el que pretendía estar y que además aparezca un “https” con el ícono del candado pequeño, lo cual indica que su conexión es segura.
• Evite las estafas teniendo claro que cualquier cosa que parezca “demasiado buena para ser verdad” le saldrá finalmente más cara, más aún tratando con un vendedor que no conoce personalmente, como ocurre a través de un sitio de ofertas o anuncios en el internet.
• Utilice un browser específico para todas sus compras y transacciones bancarias y no lo use para otras cosas, mucho menos para las redes sociales.
• Limite sus compras en línea a una sola tarjeta de crédito y controle las transacciones y saldos de esa tarjeta de crédito regularmente durante la temporada de fiestas.

El consejo más importante es mantener la calma y no tomar decisiones apresuradas, aún cuando cuando las vacaciones se acercan a pasos agigantados y el tiempo se acaba. La buena noticia es que si ha leído este artículo, lo más probable es que a futuro preste la atención necesaria para evitar a todos los skimmers y estafadores en esta temporada de fiestas.