César, de 38 años, nunca pensó que le pudiera pasar a él. Había ahorrado durante meses para comprarse cierta maquinaria para su terreno. Tras buscar en Internet encontró una tienda online española que ofrecía justo lo que necesitaba. El precio era elevado (unos 4.000 euros), pero la web parecía profesional, las fotos reales, los textos cuidados, y disponía de teléfono, CIF y hasta una dirección física en Zaragoza.

Pero todos sabemos que Internet puede ser peligroso, así que antes de lanzarse, decidió tomar algunas precauciones: buscó opiniones por la red, comprobó que la tienda existía, llamó al teléfono que aparecía en la web (le atendió una amable operadora) y para garantizarlo todo, le pidió a una amiga que vivía en Zaragoza que confirmara físicamente que allí donde indicaba la dirección, se encontraba una tienda real. Todo parecía en orden.

Confiado, realizó la transferencia bancaria. Ahora solo quedaba esperar el pedido. Nunca llegó. ¿Por qué? ¿Qué salió mal? Que la página web era un clon de la real, una copia perfecta de una tienda legítima. Por supuesto que había CIF, claro que las fotos eran de calidad y los textos coherentes. Evidentemente llamó al número real y le atendió una amable y real trabajadora de la tienda. Es que eran los verdaderos datos. Excepto el número de cuenta al que realizó el traspaso. Ese no era el de la tienda. El producto jamás llegó y los 4.000 euros desaparecieron.

¿Cómo pudo ocurrir? César cometió el error de trasladar las comprobaciones “analógicas” a la web. Es lo que muchos haríamos: verificaciones de un enorme sentido común, pero con poca base técnica, construidas bajo la lógica del mundo físico que, en Internet, sirven de poco. Copiar webs legítimas, clonar su diseño, textos, imágenes y direcciones físicas reales resulta trivial técnicamente hablando.

Solemos fijarnos en lo superficial: que la web “se parezca”, que tenga un candado en la barra del navegador, que la dirección postal exista… todo eso se puede copiar. Los atacantes juegan precisamente con esa confianza que otorgan los elementos que relajan las comprobaciones técnicas.

Lo que César no comprobó (y que casi nadie comprueba) son dos cosas. Por un lado, el dominio, lo único que en principio es más difícil de falsificar. Los estafadores suelen registrar dominios casi idénticos al original (aunque tampoco es estrictamente necesario), cambiando una letra o usando extensiones poco habituales (por ejemplo, t1endaoriginal.shop en vez de tiendaoriginal.com).

Pero el dominio es la clave. Si no es exactamente el de la tienda oficial, no es la tienda oficial. El problema, una vez más, es saber cuál es el original en primer lugar. Y solo es posible con algunas comprobaciones técnicas que debemos tener en cuenta. Existen webs para conocer la reputación de las webs de compras que no almacenamos en nuestros favoritos (donde deberían estar) porque son menos conocidas.

Por otro lado, no verificó que la cuenta bancaria de destino pertenecía a la empresa real. Y no valdría con un simple certificado en PDF, sino que debería estar firmado criptográficamente por un banco (el lector de PDF suele disponer de un botón para comprobarlo). Esta es, desafortunadamente, otra comprobación técnica que nos resulta compleja. Además, podía haber evitado la transferencia frente a otros métodos de pago que ofrecen garantías ante posibles fraudes.

La brecha entre la confianza y la técnica es cada vez mayor. Nos conciencian para ser desconfiados, sin otorgarnos herramientas para comprobar la confianza. La mayoría de usuarios no sabe qué debe verificar ni cómo. Nos fiamos de lo que vemos, de lo que “parece”, y no de lo que es. Los navegadores, para colmo, ocultan (en especial en los móviles por cuestión de espacio en la pantalla) información relevante del dominio, dificultando aún más la comprobación para el usuario medio.

En el mundo digital la confianza debe ser técnica, no solo visual o emocional. Saber identificar un dominio legítimo, examinar la reputación de una web o exigir fórmulas de pago seguras no es paranoia: es supervivencia básica. La ciberseguridad no es solo sentido común, es método. La única confianza válida en Internet es la que se puede verificar, y para eso hay que aprender a mirar más allá de la fachada. Internet es tecnología y lo que importa no es lo que parece, sino lo que se puede verificar.

Y, al final, al César lo que es del César. Si bien se molestó en las comprobaciones tradicionales (que siempre deben hacerse) no llegó a profundizar en lo tecnológico. No usó criterios técnicos, sino solo intuiciones heredadas del mundo físico. Para ser justos, no solo hay que cumplir con lo que se espera de un comprador responsable tradicional, sino también aprender y asumir la obligación de verificar, con rigor técnico, a quién estamos entregando nuestra confianza y dinero en la red.