¿Qué tan protegido está el consumidor de e-commerce en México?

Las operaciones en el comercio electrónico se encuentran menos protegidas que en el sector de las Fintech, a pesar de que implican pagos electrónicos e información personal de los usuarios.
26 Diciembre, 2023 Actualizado el 28 de Diciembre, a las 15:43
El fraude cibernético, que incluye actividades como hacking, ransomware y malware, así como la ingeniería social, que abarca prácticas como phishing, brandjacking y baiting, son las categorías con las mayores expectativas de crecimiento. (Imagen: iStock)
En particular, el fraude cibernético, que incluye actividades como hacking, ransomware y malware, así como la ingeniería social, que abarca prácticas como phishing, brandjacking y baiting, son las categorías con las mayores expectativas de crecimiento. (Imagen: iStock)
Arena Pública

Comprar productos o contratar servicios se encuentran al alcance de un clic, pero aún en México no existen leyes, regulaciones y protocolos sólidos que protejan a los consumidores que entregan datos personales y financieros para realizar estas operaciones, señalan diversos expertos en comparación con lo que ocurre con el sector Fintech.

El comercio electrónico, también llamado e-commerce, ha transformado la forma en que realizamos compras y transacciones, digitalizando procesos y haciendo más fáciles las compras. Basta con agregar darle una vuelta al catálogo electrónico, agregar al carrito y completar la compra para tener el producto a la puerta del hogar en un abrir y cerrar de ojos.

Pero esta facilidad no es gratis, y trae consigo un grave problema debido a que las compras en línea se valen de un importante recurso: los datos proporcionados por el cliente. Estos son, de manera obligada, una condicionante para llevar a cabo compras en línea. Entre ellos se encuentran: nombres completos de los usuarios, domicilio, datos bancarios y hasta datos biométricos como la huella digital o el reconocimiento facial.

Así, mucha de esa información queda vulnerable y lista para ser robada por ciberatacantes. Según un reporte de la Asociación de Examinadores de Fraude Certificados, alrededor del 50% de los representantes de organizaciones a nivel mundial reportaron haber identificado un aumento en los casos de fraude desde el inicio de la pandemia. Además, casi tres cuartas partes de los profesionales encuestados expresaron su expectativa de que todos los tipos de fraude aumenten en los próximos 12 meses.

El fraude cibernético, que incluye actividades como hacking, ransomware y malware, así como la ingeniería social, que abarca prácticas como phishing, brandjacking y baiting, son las categorías con las mayores expectativas de crecimiento. Un 82% de los encuestados anticipa un aumento en estos dos ámbitos de riesgo.

La información: el nuevo activo digital

Para precisar el tamaño del riesgo, se necesita precisar el tamaño del mercado.  El comercio ha experimentado una transformación notable debido a la digitalización paulatina de múltiples servicios, pero sobre todo se trata de una de las consecuencias de la pandemia por COVID 19, que marcó un antes y un después en este sector. Tanto es así, que cerca del 90% de la población mundial admitió realizar compras en Internet en 2020 generando ingresos de alrededor de 4.2 billones de dólares estadounidenses, según datos de Statista. Esta tendencia ha persistido y aumentado en 2021 y 2022, confirmando un cambio permanente en los hábitos de compra.

Ingresos procedentes de las ventas de comercio electrónico a nivel mundial entre 2014 y 2026 en miles de millones de dólares. (Imagen: Statista)

“En pre pandemia la mayoría, al menos en México, los compradores acudían a los centros comerciales a comprar. De hecho, ciertas tiendas tenían entre un 80-95% de sus ventas en ubicaciones físicas y la presencia en línea era mínima. El comercio electrónico representaba menos del 1% de sus ventas en pre pandemia. Lo que sucedió después, fue que las grandes empresas que ya tenían presencia en el comercio electrónico pudieron capitalizar esta oportunidad en la pandemia, y continuaron impulsándolo y mejorándolo. Eso provocó que empresas que no lo tenían comenzaran a aumentar sus sistemas en línea”, recuerda Hugo Werner, Vicepresidente Regional de Akamai para Latinoamérica.

Werner explica que la distribución a través de las grandes tiendas no era redituable para fabricantes de productos, por lo que se comenzaron a desarrollar sitios web propios de los comerciantes además del resto de las tiendas y los fabricantes, lo que contribuyó al auge del comercio electrónico.

Entre los gigantes del comercio electrónico que pudieron catapultarse al aprovechar este periodo,  se encuentra Amazon, con cerca de 5,000 millones de visitas mensuales en 2022. Por su parte, Mercado Libre destaca en el mercado latinoamericano, con un aumento esperado del 60% en sus ingresos entre 2020 y 2022, consolidándose como uno de los diez marketplaces de más rápido crecimiento a nivel mundial, según datos de Statista.

Para optimizar la experiencia del consumidor y aumentar el gasto medio, las tiendas online se centran en mejorar sus plataformas, ahora accesibles desde una variedad de dispositivos online. Pero aunque esto parece miel sobre hojuelas, la realidad es diferente, y lo cierto es que nada es gratis; en muchas ocasiones el precio de la eficiencia y el ahorro de tiempo son los datos y la información.

Según explica Werner, otra de las maneras en la que ocurren los fraudes, es a través de sitios apócrifos. “Simulan ser tu tienda favorita donde compras tus zapatos, pero en realidad es una copia. Pero de lo que hablamos es de una industria enorme. Hoy es mucho más fácil copiarse un website y colocar este tipo de trampas para sustraer esas credenciales. El punto es seducir al comprador con una compra excelente para dirigirlos a un sitio falso y ahí tomar los datos de la tarjeta de crédito, pero el producto no llegará”.

“Sí es un problema que se está dando más que en años anteriores, con los recursos que provee la nube. Inclusive hay muchas “ofertas de trabajo” de grupos de amenaza que ofrecen remuneración para que los trabajadores les den acceso con sus credenciales, por ejemplo. Hay muchas actividades de las cuales se valen los ciberatacantes. Se está dando más hoy en día”, expresó Alejandro López, líder de ciberseguridad en MercadoLibre, respecto al crecimiento de amenazas en el sector de e-commerce.

Este tipo de amenazas están a la orden del día. Según la encuesta “Experiencia y percepción de los Mexicanos al comprar en línea durante ventas especiales” realizada por Akamai a usuarios mexicanos, una de las principales razones por las que el consumidor dejaría de comprar o no compraría en línea se vincula a la seguridad en los métodos de pago, lo que demuestra que es un indicador importante al consumir en comercios electrónicos.
 

Para los mexicanos, la seguridad en los métodos de pago es importante. (Imagen: Akamai)

Pero a pesar de la creciente importancia de la ciberseguridad, los riesgos continúan a la alza. Entonces, ¿cuál es la protección hacia este sector?

Regulación de e-commerce: un pilar fundamental

El e-commerce está regulado por diferentes instancias, al menos en México. Miroslava Cristerna, abogada especialista en e-commerce y Fintech en YG Consultores, explica que la regulación de este sector se rige por una NOM, cuyos estatutos abarcan la materia de funcionamiento. Sin embargo, hay otras leyes que también respaldan la información de los usuarios.

“La Ley de Protección de Datos Personales en posesión de particulares, por ejemplo, protege la información y los datos de las personas. De hecho, en los avisos de privacidad los usuarios pueden poner a disposición una limitante de los datos. Esta ley tiene un reglamento, en el que se especifican los mecanismos que tiene que poner a disposición la institución o persona que tendrá en su posesión los datos. Debe especificar para qué los va a utilizar, los mecanismos de limitantes, etc. En su mayoría existe un formato solicitud para evitar que los datos sean usados o limitarlos. Están obligados por ley a tener esta herramienta para que el usuario pueda limitarlos”, explica la experta en asuntos legales sobre las Fintech. 

Además, para levantar una queja por alguna cuestión de esta índole, siempre se puede acudir a la Procuraduría Federal del Consumidor. “Hay e-commerce que registran sus contratos en PROFECO, no es obligatorio, pero por mejor funcionamiento”, añade Cristerna.

Aunque en este sector hay algo más. La regulación en e-commerce parece que está rezagada en comparación con la sólida protección del sector de finanzas tecnológicas, también llamado Fintech, a pesar de que ambos implican pagos electrónicos e información personal de los usuarios.

“Probablemente no hay una legislación tan fuerte, y adicionalmente, cuando existe un fraude en el comercio electrónico, lo que no vemos es la discusión entre el comercio electrónico y la banca en línea o la institución financiera”, argumenta Werner.

Para el sector Fintech, existe la Ley Fintech, la Ley para Regular las Instituciones de Tecnología Financiera, promulgada en 2018, que busca ofrecer certeza jurídica a los usuarios de servicios financieros en las diversas plataformas digitales, al mismo tiempo que otorga más confiabilidad al sector al voltear a ver a las empresas que migran hacia el sistema digital.

Para e-commerce no existe todavía una ley sólida que ampare a estas empresas, a pesar de que han surgido diferentes propuestas. “No hay como tal una normativa de ciberseguridad. En materia financiera sí hay protocolos específicos que deben cubrir las entidades financieras”, señala Cristerna.

Werner explica que esto puede deberse a la inmediatez de tu expansión. “Estas nuevas empresas están aprendiendo cómo hacerlo, y eso toma mucho dinero y mucho tiempo”, sugiere.

Alejandro López, ve un panorama similar: “Considero que en México estamos un poco relegados en general, no sólo para el sector de e-commerce. Al no tener una regulación de ciberseguridad repercute, porque es como si el sector tuviera “la vara muy baja”.

Es cierto que la falta de una ley de ciberseguridad en México es crucial para este nuevo sector, aunque a pesar de que ha habido muchas propuestas, ninguna se ha llevado a cabo. Los esfuerzos siguen quedándose en eso, sin ser una cuestión sólida que ponga en la mesa los riesgos del ecosistema digital.  Sin embargo, ¿qué hacer ante este vacío legal?

Ante el vacío legal: inversión y concientización

A medida que el sector comienza a desarrollarse, es posible que la regulación también lo haga, tal como pasó con el sector Fintech. Mientras tanto, hay cosas que pueden hacerse desde el lado de las empresas y desde el lado del consumidor para mitigar los riesgos de los atacantes.

Por un lado, las empresas deben invertir en ciberseguridad. Alejandro López explica que, de acuerdo, a su experiencia con empresas, las organizaciones sí se encuentran invirtiendo en ciberseguridad. “Me ha tocado ver organizaciones que le invierten mucho al tema de ciberseguridad tanto en tema de controles, desarrollo de tecnología, equipos destinados a  ciberseguridad, etc”.

Por su parte, Hugo Werner también recomienda esta protección. “Si bien una organización no puede estar exenta al 100% de amenazas,  yo creo que la mayoría de los comercios electrónicos están tomándose muy en serio en México mejorar su postura de defensa, pero no es algo que se logre de la noche a la mañana. Las soluciones de ciberseguridad son proporcionalmente accesibles y proporcionales al número de transacciones que generan. La invitación a las empresas es que no importa el tamaño, que no sientan que tengan que escoger entre tener ciberseguridad y el flujo de caja, hoy en día es muy accesible”, dice.

Seguido de eso, es la concientización. Los tres expertos convergen en que la concientización será vital para prevenir fraudes.  “Tal vez la difusión no es la correcta, pero el trabajo se está realizando. Hay, por ejemplo, comités de ciberseguridad y fraudes que difunden estas buenas prácticas hacia el consumidor. Ante la ausencia de un marco regulatorio, lo mejor es la información”, dice Miroslava Cristerna. “Yo recomendaría estar al día con este tipo de prácticas, y al tanto de las fuentes que tocan estos temas. Además, los e-commerce también deberían invertir en concientizar a los consumidores, por ejemplo, a través de correos electrónicos por ejemplo”, sugiere.

Por su parte, Alejandro López, concuerda con esto. “Si bien cada uno de los sectores, como la parte financiera,  deben de tener como prioridad la seguridad en la información. Para el tema de e-commerce, va más allá de las típicas defensas, se trata de proteger los datos de los clientes y de la infraestructura. Por otro lado, a nivel experiencia de usuario, comenzar a detectar estos mecanismos, aunque nunca se estará 100% seguro, siempre habrá un hueco. Tomando eso como referencia, considero que será crucial la concientización del usuario a partir de campañas anti fraudes, por ejemplo”, asegura.

Cristerna ofrece una perspectiva para que los usuarios tomen en cuenta al momento de comprar en línea: “Una recomendación es que si en los términos y condiciones de la página web hay especificaciones de medidas de seguridad, es una buena señal. Hay comercios que están comunicando al cliente constantemente  y eso es una buena señal también. Ante la ausencia de disposiciones legales, recae también en la conciencia del usuario de las mejores prácticas, las prácticas del comercio en línea y las disposiciones internacionales”.

Pero la concientización no sólo recae en el usuario, sino también en la empresa, que llevará el producto hacia el usuario. Se debe entender el funcionamiento de los mecanismos de la infraestructura electrónica para protegerla. Esto, de mano de la regulación, podría aminorar los daños de los ciberatacantes que cada vez se encuentran más a la alza.