Cada vez realizamos más compras por internet. Según los datos del INE, en el último trimestre de 2019 la cifra de compradores online se situaba en el 46,9% de la población entre 16 y 74 años, algo por debajo de la media de la Unión Europea. En conjunto, estas compras representaron el 2,1% de todo el gasto en consumo de los hogares. Pero, con el estallido de la pandemia, esta tendencia se disparó: en junio de 2020, las ventas del comercio minorista por internet fueron un 71,2% superiores al mismo mes del año anterior.
Y al mismo ritmo que crece el consumo a través de la red, aumenta también el fraude. Para combatirlo, en septiembre de 2019 se creó para todos los países del espacio económico europeo la SCA (Strong Customer Authentication), una medida para incrementar los controles en las operaciones por internet que se fue implantando progresivamente hasta el 31 de diciembre de 2020, fecha límite para hacerlo. La SCA o autenticación reforzada implica un refuerzo en la seguridad de las compras y principalmente afecta a la forma en la que éstas se validan para verificar que un cliente es quien dice ser. Hasta entonces, para aprobar algunas de las transacciones solo era necesario una clave enviada al móvil del cliente, pero con esta nueva normativa son necesarios datos adicionales para comprobar la identidad.
En el caso de Banco Santander, el grupo tiene varios protocolos de seguridad para salvaguardar la información. Pero, además, ha incorporado una nueva funcionalidad en su app móvil: Santander Key, una solución de firma omnicanal y multiproducto que permite al cliente firmar todas sus operaciones desde su dispositivo móvil. A través de Santander Key se pueden validar las compras con la huella digital, el reconocimiento facial o la clave de acceso. Su uso es tan fácil como pagar en tiendas físicas. Si se compra algo que requiera autenticación, se recibirá un mensaje en el móvil para acceder a Santander Key. Una vez ahí, y tras revisar que los datos son correctos, la operación se puede confirmar.
El proceso es sencillo. El banco solicita al cliente una serie de datos de verificación, lo que ayuda a minimizar el riesgo de fraude. Esta información puede ser de varios tipos: un PIN, una contraseña, una clave o cualquier otra información que solo sepa el titular de la cuenta bancaria. La segunda opción es utilizar objetos que solo pueden estar en poder del cliente, como la tarjeta de crédito o el teléfono móvil. En este caso, la entidad envía un mensaje de texto (SMS), una notificación o un correo electrónico para confirmar la operación. Y, en tercer lugar, se puede utilizar la verificación biométrica a través de parámetros físicos como la huella dactilar, el reconocimiento facial o el iris ocular. En este último caso, el usuario deberá contar con un terminal móvil con biometría. Una vez estén verificados dos de estos tres factores, se dará luz verde a la operación que queremos realizar.
Esta doble verificación de los datos busca proteger tanto las operaciones que se realizan de forma presencial en el comercio físico con la tarjeta de crédito como las que se llevan a cabo online desde un ordenador, teléfono móvil o tableta. Aunque cada entidad financiera ha establecido cuáles son los factores necesarios para corroborar la identidad de un usuario al efectuar una operación, hay varios tipos de transacciones online en las que este control adicional es primordial. Son aquellas en las que el usuario corre más riesgos de seguridad. Por ejemplo, cuando el cliente accede a su cuenta bancaria para realizar alguna operación como podría ser el uso de Bizum; o al comenzar una transacción de pago electrónico o efectuar una operación a través de un canal remoto que implique un riesgo de fraude de pago u otros abusos. Otras, sin embargo, están excluidas de este doble check, como es el caso de las operaciones de importe reducido (50 euros para pagos contactless y 30 euros para pagos online).
Cuidar la huella digital
Todas estas nuevas herramientas intentan frenar el imparable avance del fraude en internet, que ocasiona pérdidas millonarias al sector financiero y que crece en paralelo al volumen de compras online. En este sentido, Banco Santander destaca en su página web la importancia de vigilar nuestra huella digital. La huella digital es el rastro que se deja por internet, o lo que es lo mismo, la información online que existe sobre nosotros y que puede conducir a una pérdida de privacidad. Por eso, es recomendable limitar dónde se comparte información y con quién se hace. También es conveniente revisar los ajustes de privacidad que permiten controlar quién puede ver los contenidos que se publican. El motivo es que muchas de estas configuraciones no vienen por defecto, por lo que es bueno dedicar tiempo a entenderlas.
Otra buena práctica, según la entidad, es borrar cuentas antiguas y aplicaciones que ya no se utilicen. Además, es muy recomendable asegurarse de que el comercio es conocido y fiable, y comprobar que la dirección web de ese comercio es la correcta, especialmente si se llega a ella a través de un enlace de texto, email o redes sociales.
Protección para las pymes
La preocupación de Banco Santander no se centra solo en la protección de los particulares. La entidad acaba de crear, en colaboración con Factum (empresa participada por el propio banco a través de Tresmares), Cyber Guardian, una plataforma con soluciones punteras que permite a las pymes protegerse de las ciberamenazas. Los datos indican que las pequeñas y medianas empresas son uno de los sectores más afectados: el 70% de los ciberataques que se produce en España son contra pymes y cada uno de ellos tiene un coste promedio de resolución de 35.000 euros, además de los costes operativos, reputacionales y la potencial pérdida de clientes. Cyber Guardian ofrece a las pymes la capacidad de evaluar su riesgo de ciberseguridad; proteger sus dispositivos, emails y navegación, así como formar a sus empleados, entrenándolos con pruebas de phishing y mensajes de concienciación para convertirles en la primera barrera de defensa. Esta solución incorpora, además, monitorización proactiva de alertas de seguridad 24/7.
La entidad española también ofrece a todos sus profesionales formación interactiva en ciberseguridad. En estos cursos se simulan ataques online que cualquier persona puede experimentar en su vida cotidiana, con el fin de mejorar sus habilidades: detección de correos electrónicos de phishing y mensajes maliciosos; cómo responder a un ransomware o saber cómo reportar de inmediato cualquier sospecha a los equipos de ciberseguridad del grupo. Además, durante todo el año los empleados participan en sesiones de hacking en directo, talleres de seguridad online, podcasts o discusiones en chats internos. Octubre es el mes de la concientización sobre la ciberseguridad, con una programación especial.
Los empleados comparten regularmente estos conocimientos con los clientes, a través de charlas en las oficinas Work Café y el resto de sucursales, así como en sesiones de video en streaming, contribuyendo de esta manera a mejorar también su seguridad online.