El phishing es una práctica fraudulenta que consiste en suplantar la identidad de una persona, tras haber robado u obtenido mediante engaño sus datos personales, de pago y contraseñas, generalmente para realizar compras online o sustraer dinero de sus fondos.
Según el Fraud Prevention in Ecommerce Report 2020 / 2021 de The Paypers, los fraudes en ecommerce han crecido desde 2017 un 18%, y esta situación ha sido agravada por la pandemia mundial de COVID-19.
Según varias encuestas efectuadas desde el comienzo de la crisis global, el 63% de los usuarios ha utilizado métodos de pago electrónicos y un 80% ha pasado a utilizar más sistemas contactless.
Es lógico que en estas circunstancias a los compradores no les quede más alternativa o sientan mucha más confianza en las compras online. Sin embargo, esta situación también ha planteado muchos retos para los vendedores y plataformas de pagos online, a medida que crece la demanda y también el ingenio de los estafadores para aprovecharse del cambio. Según Google, los sites de phishing crecieron un 250% entre enero y marzo de 2020, y por desgracia las cifras se mantendrán ante el auge del comercio digital.
Por suerte, también están floreciendo las buenas prácticas para evitar el phishing en ecommerce y reforzar la seguridad de los compradores y los negocios.
Todos los tipos de phishing persiguen acceder a las cuentas de un comprador a través de sus datos. En ecommerce, esta práctica se orienta a realizar compras ilegales o a redirigir una compra legítima hacia una compra no autorizada.
En todos los casos, la situación perjudica a comprador y empresa. El usuario pasa por la mala experiencia de un fraude que implica multitud de reclamaciones para recuperar su dinero, y tendrá ya una asociación negativa con el ecommerce donde sufrió el timo. Para el negocio, supone atender esas reclamaciones y, en algunos casos, tener que responsabilizarse de compras falsas, perdidas o robadas.
En la mayoría de los ejemplos de phishing, el vendedor o retailer no puede identificar a un comprador legítimo de uno fraudulento. Muchos problemas derivados del phishing también pueden deberse a obstáculos logísticos, como paquetes no recibidos, o que llegan vacíos, o productos devueltos que llegan vacíos a manos del vendedor.
A pesar de esto, los tipos de phishing más habituales y peligrosos en ecommerce se basan en pedidos “fantasma” antes que en robar pedidos legítimos:
El usuario recibe un correo electrónico supuestamente de su banco, reclamando datos personales o instalándole un malware en su dispositivo. Mediante llamadas también se intenta obtener información de un cliente para acceder a sus cuentas o poder suplantar su identidad en llamadas a su banco o aseguradora.
Es el tipo de phishing más básico, cuando se tienen los datos de cuenta del usuario y se actúa en su nombre de forma ilícita. De forma similar se usa la triangulación, en la que se crea un site de ecommerce falso para robar los datos de pago de los usuarios y redirigir compras a páginas de ecommerce reales.
El uso creciente de esta modalidad de compra en ecommerce ha llevado a un aumento de fraudes en muchos casos. En este tipo de compra, el cliente encarga el producto online para recoger en tienda, o en la acera (Pick up at the Curb o BOPAC). El timo consiste en robar las credenciales y tarjeta del comprador online y pasar a recoger los pedidos en su nombre.
El estafador realiza operaciones online sin tener la tarjeta bancaria auténtica. Esto es más fácil si no hay medidas de seguridad correctas ahora que emergen más métodos de pago sin tarjeta y las tarjetas de formato únicamente digital.
Debido a que muchas empresas han pasado a trabajar totalmente en remoto o con parte de su equipo operando desde casa, la seguridad de los dispositivos en casa es menor que en las organizaciones. Para muchos tipos de phasing ha sido más fácil acceder a datos privados a través de hardware menos protegido.
Aparte de suplantar la identidad de compradores, las estafas online también pueden basarse en suplantar a un negocio. Esta práctica consiste en replicar el perfil de una empresa real en un marketplace, como Amazon, incluyendo reseñas falsas que dan sensación de legitimidad. De este modo atraen compras, pero nunca envían los productos.
La responsabilidad parece caer en los hombros del negocio, y en gran parte es así. Las empresas tienen que asumir el reto de implantar la metodología y praxis más segura posible, tanto a nivel operacional interno como para los clientes que compran, a la vez que aseguran una experiencia de usuario agradable y no demasiado complicada.
¿Qué puedes hacer para que el phishing nunca sea un problema en tu negocio?
Puedes pensar que es responsabilidad de ellos, pero también tienes que aportar tu granito de arena. La mayoría de las víctimas de phishing en ecommerce son personas mayores o menos entrenadas en tecnología: objetivos fáciles que agradecerán tu ayuda si detallas en tu web cómo compras y pagar de forma segura. Esto, además, mejora tu imagen de marca como empresa de confianza.
Por un lado, los pagos en un clic responden a la agilidad que esperan los compradores online. Por otro, aunque debes intentar mantenerlo simple, un 87% de los compradores estaría dispuesto a un proceso más largo si eso conlleva un extra de seguridad. Ahora con el PSD2 obligatorio en Europa, el cliente está más protegido y es obligatorio para tu ecommerce ofrecer una autenticación de varios factores, o Strong Customer Authentication (SCA), para autenticar al usuario y confirmar el pago.
En los métodos de envío a domicilio y recogida en tiendas o puntos de entrega acordados, muchas empresas relajan la comprobación del cliente. Los negocios deben educar a sus empleados para asegurar que son rigurosos al comprobar la identidad del cliente, y cada vez surgen más soluciones como contraseñas o claves personalizadas, identificación biométrica, coincidencia del rostro, análisis mediante AI…
La opción de crear una cuenta y guardar los datos de pago para futuras compras es muy cómoda para el cliente, pero conlleva mayor riesgo. Es responsabilidad del negocio recopilar y guardar estos datos de la forma más segura posible, principalmente mediante el uso de la tokenization. Esto convierte datos de las tarjetas bancarias en identificadores únicos, lo que oculta y protege los números de pago.
Al igual que sucede en temas legales, es importante para la empresa revisar su estado de ciberseguridad a menudo y obtener un informe actualizado en caso de que nunca se haya detenido a valorar los problemas de phishing. Tanto en caso de que ocurran como de que exista riesgo, es vital analizar los datos, compararlos con las tendencias actuales de phishing más populares, y tomar las medidas adecuadas para proteger la web de ecommerce y al comprador.