Actualizado el miércoles, 26 julio, 2023
Evita estafas y protege tu tienda: te contamos cómo detectar el phishing en ecommerces y cómo estar prevenido para que no te suceda en tu tienda online.
Cuanto más en auge están las compras o acciones online, más proliferan las estafas para tratar de engañar a los usuarios y robarles su dinero o datos. Es por eso que es muy importante estar informados y saber cómo detectar estas técnicas ilícitas para que no nos afecten, tanto como usuario como si gestionas una web o ecommerce.
El phishing es una de las estafas online más frecuentes. Se trata de una acción malintencionada que trata de robar información o dinero de los usuarios mediante la suplantación de identidad a través del correo, de mensajes, de una web o, como el caso que nos ocupa, a través de una tienda online.
¿Estás pensando en crear una tienda online? Elige la confianza que te da dinahosting, ponemos a tu disposición los mejores gestores de contenido para tu tienda: WordPress con WooCommerce y PrestaShop.
Índice de contenidos
¿En qué consiste el phishing en ecommerces?
El phising en ecommerces consiste en utilizar una web falsa y aparentemente igual a una tienda online real para que los usuarios la confundan con la original y realicen compras a través de ella.
Los estafadores se aprovechan de la confianza de los usuarios en una determinada marca o persona para hacerse pasar por ellos y solicitar transacciones ilícitas por unos supuestos productos o servicios que ni siquiera existen.
Para llevar a cabo estos ataques realizan páginas web con diseños muy similares o iguales a otras tiendas online reales, las llamadas webs espejo. Utilizan también URL con dominios parecidos al original y replican el estilo de colores, textos, botones, fotos… o directamente los copian.
Suelen captar a los usuarios por correo, mensaje o incluso con anuncios en redes sociales. Es frecuente también que se aprovechen de las campañas de fechas señaladas para crear urgencia en los usuarios y que compren fijándose menos.
Su objetivo es que realices una compra para quedarse con tu dinero y posiblemente aprovecharse de tus datos.
Aquí vemos un ejemplo de phishing en ecommerces sobre la conocida marca de zapatillas New Balance:
Aparentemente, parece la página correcta, pero si te fijas en los detalles se aprecian elementos sospechosos. La URL por ejemplo es newsbalances.com (la URL correcta sería newbalance.com). En el título que aparece en las pestañas muestra una página sospechosa topsellers.stores. También se ve que la tipografía del banner es rara y no cuadra con la imagen corporativa habitual de la marca.
Al continuar navegando por la página surgen también otras alertas, pero como ves, son pequeños matices o detalles, fáciles de pasar por alto. Por eso hay que estar atentos.
Cabe mencionar que los ecommerces copiados o webs afectadas no tienen culpa de este hecho, y directamente tampoco pueden hacer nada para evitarlo. En cambio, esto sí puede repercutirles negativamente afectándoles a su imagen de marca, ya que es frecuente que los usuarios responsabilicen al ecommerce original de haber sido engañados.
¿Cómo detectar una web de phishing?
Para evitar caer en una tienda online falsa puedes seguir estas precauciones:
Fíjate en la URL y en el diseño
Como te adelantábamos antes, este tipo de webs espejo cuenta con una URL similar a la del ecommerce original.
Por ejemplo, si zara.com es la URL original, una de phishing podría ser zaara.com, zara.online, zarah.es…. Es frecuente que cambien dígitos o el TLD (parte final del dominio) por uno que suene real.
Revisa en internet, buscadores y redes sociales cuál es la URL correcta del ecommerce antes de realizar una compra.
Revisa el diseño. Aunque cada vez los hackers del phishing son más cuidadosos, es posible que pasen por alto detalles. Si hay incoherencias estéticas, cambios de tipografía, falta el favicon, carece de etiquetas de título y descripciones, etc. Si algo te canta, mejor verifica varias veces que estás comprando en el sitio correcto.
Compra solo en sitios seguros
Comprueba que el sitio en el que vayas a comprar cuente con todos los textos legales. Cualquier ecommerce debe contar con un Aviso Legal, una Política de Privacidad y Cookies, y con las Condiciones de contratación bien visibles en su web.
Si te cuesta encontrar estos apartados en su web o no existen, sospecha del sitio.
Para saber más revisa el post ¿Qué textos legales necesita tu web o ecommerce?
También es frecuente que las páginas de phishing no cuenten con certificado SSL que proteja la información de los usuarios y la marque como segura. Fíjate en la barra del navegador, debe aparecer un candado cerrado o nada. Si sale un aviso de que el sitio no es seguro, desconfía y realiza las siguientes comprobaciones.
Pero ten en cuenta que esto es solo un detalle, los hackers van evolucionando y son cada vez son más las páginas de phishing que también aparecen marcadas como seguras. Y también al contrario, algunos ecommerce reales y lícitos, todavía no tienen certificado SSL y aparecen marcados como inseguros. Para que esto no te pase asegúrate de tener un Certificado SSL en tu tienda online.
Por otro lado, existen páginas web donde nos alertan de diferentes ataques de phishing. Está bien revisarlas si nos surgen dudas con una web. Algunas de las más populares son: INCIBE, OSI o fakeinet.
Contrasta los datos
Es habitual que en las páginas de phishing tampoco se muestre información sobre la empresa o datos de contacto. O en caso de contar con ellos pueden ser falsos o incluso estar copiados de la página original.
Por eso, si cuenta con unos datos de dirección en su web que indiquen donde se ubica físicamente la sede de la tienda online, comprueba por otras vías si efectivamente existen. Puedes buscarlo en Google Maps o en cualquier otro buscador. Generalmente, los datos de dirección figuran en su Contacto o en su Aviso Legal.
En el Aviso Legal también puedes revisar el NIF de la empresa y comprobar si existe en el Registro Mercantil de la ciudad o si aparece en algún otro directorio público de sociedades.
Probar al llamar por teléfono o contactar por la vía que indiquen también es una buena forma de verificar que el sitio es lícito.
Evita métodos de pago dudosos
Paga solo a través de plataformas que ofrezcan garantías. Si cuando llegas al carrito de compra te faltan elementos o te parece que la información que piden no es necesaria, o si la pasarela de pago te resulta extraña, mejor no continúes con el pago.
Hace un tiempo se cambió la normativa para que los pagos a tienda fuesen más seguros (PSD2). Ahora lo normal es que se solicite la doble autenticación para la mayoría de las transacciones online.
También desde las entidades bancarias se han incrementado las medidas de seguridad: facilitando apps propias, verificando pagos o incluso, impidiendo directamente operaciones desde sitios dudosos.
Revisa comentarios y valoraciones
Si dudas sobre una determinada web en la que quieres comprar, prueba a buscar valoraciones sobre ella. Si se trata de una estafa que lleva tiempo funcionando es posible que haya comentarios en sus redes sociales alertando de esto.
Los usuarios engañados o estafados suelen también dejar su valoración negativa bien clara en redes, en Google My Business o donde sea.
Las páginas que tienen desactivadas las valoraciones y comentarios o no tienen apenas interacción en las redes son las más sospechosas. ¡Cuidado con ellas!
¿Qué hacer si han suplantado mi ecommerce?
Si has sufrido un ataque de phishing en tu ecommerce, puedes realizar estas acciones:
Denuncia la web estafadora
Si has detectado un caso de phishing sobre tu ecommerce o sobre cualquier otro, lo primero es denunciarlo.
Para ello la Oficina de Seguridad del Internauta facilita en esta web un correo para reportarlo.
Avisa a tus usuarios
Para que ninguno de tus clientes se vea afectado por la estafa, mejor avísalos en cuanto detectes el caso.
Esto también te ahorrará que descarguen sobre tu marca el fiasco del engaño.
Protege tu marca
Para estar prevenido, revisa tu marca en buscadores y analiza de vez en cuando si existen URLs sospechosas similares a tu tienda online que se puedan utilizar en tu contra.
Registrar aquellos dominios más habituales para que no lo utilicen sitios fraudulentos, es una buena manera de dificultar las técnicas de phishing.
También, como señalábamos antes, añadir un plus de seguridad con un Certificado SSL nunca está de más.
Por último, ten en cuenta que comprar online es generalmente seguro si lo haces desde sitios de confianza y aplicas el sentido común en tus compras.
Esperamos que estos consejos te ayuden a evitar los ataques de phishing en ecommerces y a mantener tu tienda protegida.
Para saber más sobre el phishing, no olvides pasarte por estos posts:
- ¿Qué es el email phishing?
- ¿Qué hacer si has recibido un correo de phishing?
- Preguntas y respuestas sobre el email phishing
- Phishing con fraude en bitcoins
¿Te ha parecido interesante? ¿Conocías este tipo de ataques de phishing? ¡Cuéntanos tu experiencia en los comentarios!
Deja una respuesta