Ciberengaños: los fraudes típicos en verano en el sector del turismo y ocio
Con la llegada del periodo estival, no solo llega el calor, también los fraudes. Las empresas multiplican el volumen de operaciones de manera considerable, la rapidez en la gestión y la alta demanda de servicios son el ambiente perfecto para los fraudes a empresas del sector turismo y ocio.
Por lo general, los principales objetivos se centran en hoteles y restaurantes, por ser los que más movimiento presentan en esta época, y por lo tanto, donde es más fácil hacer que un engaño pase desapercibido.
Para evitar sustos, es importante haber previsto las situaciones típicas de funcionamiento diario dentro de unos parámetros de seguridad predefinidos. A nivel de ciberseguridad podemos hablar de los siguientes puntos a tener en cuenta:
Tipos de fraudes más habituales
Aunque existe una gran variedad de fraudes destinados a empresas a través de Internet, es importante conocer al menos los 2 o 3 tipos más habituales y en los que se basan la mayoría de ellos:
Transferencias o cheques sin fondos
En otras ocasiones, envían un cheque sin fondos, cancelan el viaje y solicitan la devolución del importe que nunca pagaron.
En ambos casos, la reserva se realiza por Internet: un supuesto cliente o empresa de viajes extranjera, contacta con el establecimiento para hacer una reserva de los servicios. Al poco tiempo, dicho establecimiento recibe un cheque de un banco extranjero con el pago de un importe muy superior al presupuestado.
Al tratarse de una transferencia internacional, las entidades nacionales pueden tardar entre 3 y 4 días en validar el pago mediante el cheque.
Cuando el establecimiento lleva el talón a su entidad, reciben el ingreso en cuenta del importe, viendo entonces reflejado el pago y procediendo, como de costumbre, a autorizar el servicio.
Posteriormente, el supuesto cliente cancela la reserva antes de que se agote el plazo de verificación, y solicita la devolución del importe. En este caso, el establecimiento accede a la devolución, pero cuando se completa la verificación y se comprueba que no había fondos, el supuesto cliente ya es ilocalizable.
Pagos con tarjetas robadas o ajenas
Este tipo de tarjetas se obtienen generalmente a través de la Deep web, y suelen pertenecer a personas de otros países.
Cuando el afectado denuncia el robo o los cargos, generalmente ya han transcurrido varios días, y es imposible seguir el rastro del ciberdelincuente.
Fraude del CEO
Respecto al fraude del CEO, se trata de un ataque diseñado contra una víctima concreta, de la cual previamente se ha recopilado información para hacerlo más creíble.
Generalmente son 2 los objetivos, el gerente o un alto directivo de la empresa y un empleado, normalmente del área de administración, con facultades para poder realizar transferencias de dinero.
Los ciberdelincuentes suplantan la identidad del directivo y solicitan la transferencia de una importante cantidad de dinero a un proveedor, con motivo de cerrar una operación en la que está trabajando en ese momento.
El empleado no duda del requerimiento al llegar de su superior y realiza la transferencia sin percatarse que está siendo víctima de un fraude.
Este tipo de ataque está enfocado a organizaciones empresariales de un tamaño medio o grande donde es más difícil conocer con total certeza a todos los empleados y directivos.
Identificación segura de usuarios
Desde INCIBE insistimos constantemente en este punto, siendo clave para que el usuario y la empresa establezcan la relación comercial con confianza desde el inicio.
La identificación segura de usuarios, supone la primera barrera defensiva contra el fraude, para ello podemos implementar plataformas o portales de identificación seguros, donde el usuario tenga que autentificarse mediante contraseña, pero añadiendo una capa extra como podría ser la autenticación multifactor.
De esta forma, podemos minimizar los riesgos al identificar a usuarios, ya que quien acceda a la plataforma debe superar unos mecanismos de validación que le identifiquen, aportando información que solo el propio usuario debería conocer y mediante algo que el usuario tenga, su huella dactilar, su aplicación generadora de claves en su teléfono móvil, etc.
Políticas de formas de pago y cobro
Superado el primer paso, la identificación del usuario de forma segura y lo más fehacientemente posible, hay que culminar la operación. Cabe decir que improvisar los procedimientos de pago y cobro no sólo no es una buena práctica, sino que induce a errores y pérdidas en la empresa.
En este sentido, debemos adoptar unas políticas estrictas en el apartado de cobros a clientes y pagos a proveedores a través de las plataformas electrónicas, eligiendo siempre plataformas con reputación demostrada y con seguridad actualizada.
Estas deben adaptarse al modelo de negocio, ofreciendo al cliente diversas formas de pago electrónico, verificadas y seguras.
Si el cliente no dispone de las formas de pago ofrecidas, y busca efectuar el pago de otra manera o modificar un pago realizado, debemos pasar al apartado humano, donde al menos una persona con experiencia y suficientes conocimientos en ese campo, deberá revisar y contrastar la operación específicamente con la plataforma de pago.
Ante la mínima sospecha, la mejor opción es ser cauto y no precipitarse, informando al cliente sobre el estado de su solicitud, a través del procedimiento establecido por la empresa.
En muchas ocasiones, las empresas automatizan algunos procesos con el fin de agilizar su trabajo, como las devoluciones económicas, que se realizan sin hacer las oportunas comprobaciones por parte de la entidad bancaria.
Si se han marcado unos plazos de devolución y unos mecanismos para implementarlos a través de las plataformas de pago, y se ha informado a los usuarios de estas políticas, el cliente no tendrá problema en esperar mientras le mantenemos informado del estado de su solicitud. Si por el contrario requiere rapidez inmediata en la devolución y solicita formas inusuales, debemos informarle de las políticas establecidas y no salir de ellas.
Si en cualquier momento se requiere el uso de canales no usuales, es el personal de administración de la empresa quien deberá decidir y establecer los mecanismos de comunicación oportunos para verificar la identidad de la persona, siempre usando los medios oficiales para que todo quede reflejado convenientemente, y dando los plazos adecuados para poder realizar las comprobaciones.
Pasarelas de pago seguras
Se llama pasarelas de pago a las plataformas que utilizan las tiendas para facilitar el pago de sus clientes. La pasarela debe ser confiable para el cliente, intuitiva y suficientemente clara en la información que transmite.
Actualmente, la mayoría de plataformas que existen podrían considerarse seguras. Sin embargo, algunas implementan más características de seguridad que otras, como es el caso del sistema de verificación de direcciones, que solicita al comprador la dirección fiscal a la que está vinculada la tarjeta, lo que permite identificar al comprador como titular de la tarjeta, creando, por tanto, una barrera más contra el fraude.
Todas las plataformas de pago, deben adaptarse a la legislación vigente y superar determinadas pruebas entre las que están:
- Realizar tests de seguridad regularmente.
- Cifrar la transmisión de los datos de las tarjetas.
- Mantener una configuración que proteja los datos y cambiar los parámetros de seguridad que vienen por defecto.
Tampoco debemos olvidar que la plataforma de pago cuente con un servicio de soporte alcanzable rápidamente y que mantenga su plataforma actualizada.
Finalmente, desde INCIBE no podemos terminar sin recordar, una vez más, la importancia de la concienciación de los empleados en materia de ciberseguridad, ya que ellos son el eslabón de la cadena al que van dirigidos los ataques de ingeniería social, causando un importante daño, tanto a la empresa, como a sus clientes.
Recordemos que concienciar en ciberseguridad es evitar problemas.
Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
- Conocer los tipos de fraudes más habituales.
- Realizar una identificación segura de usuarios.
- Tener una política empresarial de formas de pago.
- Utilizar pasarelas de pago seguras.
- Concienciar a los empleados en ciberseguridad.
- Transferencias o cheques sin fondos.
- Pagos con tarjetas robadas o ajenas.
- Fraude del CEO.
- Realizar tests de seguridad regularmente.
- Cifrar la transmisión de los datos de las tarjetas.
- Mantener una configuración que proteja los datos y cambiar los parámetros de seguridad que vienen por defecto.