Ciber Cultura

Qué hacer si copian tu tarjeta de crédito en un ecommerce infectado

que-hacer-si-copian-tu-tarjeta-de-credito-en-un-ecommerce-infectado
Escrito por Lara Olmo

Un abogado especializado en TICs nos cuenta qué hacer si copian nuestra tarjeta de crédito en un comercio electrónico infectado y qué responsabilidad tiene la tienda.

El otro día un experto en ciberseguridad alemán alertaba de la expansión de un código web malicioso que estaba infectando a los comercios online (según sus cálculos, serían cerca de 6.000), y cuyo fin principal es la extracción de los datos personales y de las tarjetas de crédito de los clientes.

Aunque se trate de un malware diferente, esta ciberamenaza recuerda mucho al ‘phishing’ que sufren los bancos, ataques que consisten en adquirir de forma fraudulenta información confidencial del usuario mediante la suplantación de identidad.

Como lamentablemente se han producido varios casos de este tipo, ya existe un histórico en el que nos podemos fijar para saber qué puede hacer el cliente de una entidad bancaria que detecta transacciones o movimientos de efectivo no autorizados, y del mismo modo, cuál es la responsabilidad bancaria en estos casos.

El Banco Santander, culpable del robo de un virus a uno de sus clientes

Volviendo al malware que está atacando a los ecommerce, hemos querido resolver ciertas dudas que plantea esta nueva ciberamaneza y qué pueden hacer usuarios y tiendas si se topan con ella.

Para ello hemos consultado al abogado especializado en TICs Samuel Parra, que nos cuenta que el usuario que se vea afectado por este tipo de fraude debe, en cuando tenga conocimiento de ello, notificárselo a su entidad financiera o proveedor de servicios de pago. Así en ningún caso podrá ser considerado responsable de esos cargos indebidos en la tarjeta de crédito.

Y la tienda online, ¿qué responsabilidad tiene? El abogado reconoce que este punto es más complejo, porque no hay una norma que establezca con precisión qué medidas mínimas en materia de seguridad debe tomar un comercio online para evitar acceso no autorizados. “Por eso hay que probar si hubo diligencia o no en el comercio online a la hora de asegurar su tienda”, señala.

Los ocho tipos de malware más peligroso para pymes y autónomos

Aunque si atendemos a la protección de datos personales, la normativa sí es clara: si un ecommerce es hackeado o infectado con malware dándole acceso no autorizado a un tercero a información personal (nombre y apellidos del titular de la tarjeta, número de la tarjeta, CCV, etc), se considera que el comercio no adoptó las medidas de seguridad necesarias.

Esto es, “haz lo que tengas que hacer, pero evita que accedan a los datos porque si acceden a los datos, es que no hiciste todo lo que debías”, matiza el letrado.

Es lo que se conoce como “obligación de resultado” y se extrae del artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que viene a decir que el responsable de un fichero de datos (en este caso, el comercio onlinedeberá adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Al margen está el hecho de que los ciberdelincuentes usen la información extraída de los clientes de forma indebida. En este sentido el ecommerce tiene las cosas algo más a su favor, pues en opinión de Parra “si puede demostrar que tenía actualizado o parcheado el software que utiliza (el de la plataforma de la tienda online, el del servidor web, PHP, etc), realiza auditorías periódicas en materia de seguridad y, una vez tuvo conocimiento del malware, procedió a eliminarlo, sería complicado hacerlo responsable“.

Si eres el dueño de una tienda online, recuerda actualizar las versiones del software y si tienes conocimiento de un malware corrígelo de inmediato, o tendrá más complicado defenderte y se te podría exigir responsabilidad.

Sobre el autor de este artículo

Lara Olmo

Periodista 2.0 con inquietudes marketeras. Innovación, redes sociales, tecnología y marcas desde una perspectiva millenial. Vinculada al mundo startup. Te lo cuento por escrito, en vídeo, con gráficos o como haga falta.