Cuando el pago es legítimo pero la autorización no lo es

Las compras remotas ya forman parte de nuestro día a día, habiendo dejado atrás los métodos convencionales. Estas compras suelen incluir acciones como pagar desde una aplicación web o introducir los datos de tu tarjeta de crédito.

A pesar de que hoy en día lo consideramos como algo “habitual”, este tipo de operaciones se han convertido en uno de los principales objetivos del fraude digital, tanto hacia las propias compras como hacia los códigos OTP.

¿Qué se considera como compra remota?

Una compra remota es cualquiera en la que no se haga uso de la tarjeta de forma física, si no digital. En estas transacciones, el comercio no puede comprobar quien sostiene la tarjeta, por lo que se basa en los datos proporcionados por el usuario. Si los datos de la tarjeta han sido filtrados previamente, los ciberdelincuentes pueden iniciar una compra en tu nombre y sin levantar sospechas.

Para evitar este tipo de fraudes, nace el OTP, códigos de un solo uso que se envían al titular de la tarjeta para confirmar la compra. Este método tiene como objetivo demostrar que la persona que ha introducido los datos de la tarjeta es realmente el titular de esta.

¿Dónde entra el fraude?

Como en muchos ciberataques, la ingeniería social juega un papel fundamental. En estos casos, el atacante cuenta con los datos de la tarjeta, por lo que su objetivo es manipular al usuario para hacerse con el OTP.

Para protegerse de este tipo de fraude, es fundamental conocer paso a paso cómo funciona:

1. Inicio de la compra: el atacante inicia una compra real con los datos de la tarjeta robada de la víctima.
2. Envío de OTP: en este momento, el sistema envía un OTP legítimo al titular de la tarjeta. Se trata de un código auténtico, con un mensaje real y una notificación bancaria legítima.
3. Contacto con la víctima: el atacante contacta con la víctima simulando ser el banco, el comercio o un servicio de seguridad antifraude para obtener el código, apelando a la urgencia o al miedo. Si la víctima comparte el código, la compra quedaría autorizada.

Buenas prácticas frente al fraude OTP:

• Nunca compartas el código: el OTP es estrictamente personal. Ninguna entidad bancaria ni comercio te pedirá que facilites el código a través de mensajería.
• Desconfía de los mensajes de urgencia: los atacantes suelen utilizar frases como “es urgente”, “tenemos que bloquear la operación ya”. Ante cualquier mensaje de prisa o presión, es importante siempre verificar y actuar con seguridad.
• Si recibes un OTP que no esperabas, no actúes: no respondas a los mensajes ni sigas instrucciones externas que piden que facilites un código, ni siquiera si no estás realizando una compra.
• Contacta a través de canales oficiales: si tienes cualquier duda, contacta con el comercio o la entidad bancaria a través de los canales oficiales.

Recuerda: El problema no está en la tecnología, sino en como se explota la confianza y la urgencia.