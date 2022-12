Tras dos años de pandemia sin la oportunidad de disfrutar los conciertos en vivo, el 2022 está impulsando la llegada de múltiples artistas a nuestro país. En algunos casos la demanda fue tan grande, que algunas plataformas de venta de entradas colapsaron.

Si bien los conciertos nos alejan cada vez más de la incertidumbre que trajo el coronavirus, también nos acercan nuevamente a dos amenazas que siempre estuvieron presentes en este tipo de eventos: la existencia de páginas falsas de venta de entradas y los revendedores malintencionados.

Frente a ambos problemas detectados en los últimos conciertos en Lima, no podemos evitar preguntarnos si es posible ponerles un alto. El Comercio conversó con un ingeniero informático y un experto en ciberseguridad sobre el tema, y nos brindaron recomendaciones que podrían resolver estos problemas.

La suplantación de páginas también conocida como phishing

Durante la presentación del artista urbano Daddy Yankee, el pasado 18 y 19 de octubre, 7.000 personas fueron estafadas con entradas falsas. Algunos afectados cayeron en cuenta que sus entradas habían sido revendidas múltiples veces y otros descubrieron haberlas adquirido en páginas fraudulentas. A esto último se le denomina phishing, una técnica de ataque cibernético ejecutada por los hackers desde hace más de 20 años. Si bien en un inicio se puso en práctica principalmente en los bancos, con el pasar del tiempo fue abarcando diferentes rubros.

Corrado Daly, ingeniero informático y docente en la Pontificia Universidad Católica del Perú (PUCP), señala a El Comercio que el phishing “consiste básicamente en suplantar una página legítima”.

El phishing es una técnica de ataque cibernético ejecutada por los hackers desde hace más de 20 años. (Foto: Freepik) / Freepik

“Puedes comprar nombres de dominio, ponerles certificados y parecen páginas seguras. El nombre se parece mucho y basta con que promocionen en ciertos lugares, y ya la gente entra y cree”, agrega.

De acuerdo con la información del blog de Google, un nombre de dominio es aquel “nombre único que se muestra después del signo @ en las direcciones de correo y después de www. en las direcciones web”. Además están asociados a una dirección IP física de internet.

Como menciona Daly, comprarlos es un proceso sencillo, pues basta con que el hacker visite un registrador o host de dominios y pague un pequeño monto anual para convertirse en propietario de uno.

Lamentablemente, el phishing es muy común en nuestro país. En declaraciones al medio Forbes, la empresa de ciberseguridad ESET definió al Perú como el “país de América Latina que más ataques de phishing recibe a través de diversos canales como correos electrónicos con códigos maliciosos y hasta mensajes SMS”. Nuestro país lidera la lista con 33%, mientras que México ocupa el segundo lugar con 14%. Ecuador y Argentina se llevan el tercer y cuarto lugar con 9% y 8%, respectivamente.

Entonces, ¿cómo podrían erradicar esta problemática las empresas que venden entradas?

Búsqueda manual de páginas falsas

El experto menciona que lo ideal sería que las empresas que venden entradas contraten personal para buscar sitios parecidos en internet. “Es un esfuerzo un poco de hormiga, pero se tiene que hacer para evitar comprar entradas en sitios falsos”, agrega.

Por otro lado, la empresa de ciberseguridad Kaspersky sugiere en su blog oficial que se busquen comentarios de otras personas en internet sobre la página que se sospecha es falsa. “Una reputación, sea buena o mala, se esparce por internet en cuestión de segundos. Si alguien ha tenido una mala experiencia con un sitio web, es probable que haya dejado un comentario en línea”.

Segundo gran problema: los revendedores malintencionados

Cuando hacemos mención de los revendedores nos referimos a aquellas personas que acaparan múltiples entradas para luego venderlas a un precio elevado a través de redes sociales y así generar ganancias. La presencia de dichas personas no es algo nuevo, ya que incluso antes de la pandemia podíamos encontrarlas en los exteriores de los recitales u ofreciendo entradas vía web.

Asimismo, podemos considerar como revendedores a quienes, por algún motivo, no pueden asistir al evento y optan por ofrecer su entrada a otras personas y así recuperar lo invertido.

La compra de entradas en grandes cantidades, por parte de los revendedores maliciosos, ha llevado a los usuarios a preguntarse si hay alguna herramienta tecnológica que pueda detectar su presencia en las colas virtuales. Al respecto, Daly señaló que esto no es posible. “Tecnología que detecte si eres revendedor o no, no (hay)”, enfatizó.

Frente a esta situación, ¿qué soluciones podrían aplicarse para intentar frenar la presencia de estas personas?

Fomentar la compra de entradas en lugares autorizados

Aunque suene repetitivo, la primera recomendación siempre será optar por la compra de entradas en plataformas autorizadas. Para lograr que esto se cumpla, Daly sugirió que las compañías inicien campañas de concienciación hacia los usuarios. “La empresa que venda entradas tiene que tener una campaña diciendo cuál es su sitio web oficial”, señaló.

Sergio Azahuanche, consultor senior de Ciberseguridad de Marsh Advisory Perú, dijo a El Comercio que las empresas también deberían reforzar la importancia de no compartir sus boletos. “Tener, de repente, en su página web mensajes sobre las medidas de seguridad a nivel personas: no ceder el QR y no publicarlo”.

Crea un sistema de transferencia de entradas

Otra recomendación en la que ambos expertos coinciden es en la creación de un sistema que permita la transferencia de entradas entre quienes ya no puedan asistir al evento y las personas que no lograron conseguir entradas.

Pero, ¿cómo funcionaría esta hipotética herramienta? Sergio Azahuanche cree que esta podría asemejarse a una transferencia bancaria. Para acceder al hipotético sistema el usuario deberá estar registrado en la página web con su DNI, usuario o factores biométricos y así realizar la transferencia de boletos mediante una clave dinámica.

También señaló que si se tratara de una verificación biométrica, podrían aliarse incluso con el RENIEC.

Siguiendo esta línea, Corrado Daly agregó que, de la mano de esta implementación, el usuario podría recuperar el 90% o 95% del valor original del boleto. “Es mucho más ordenado, pero eso depende de que la empresa establezca bien claras las reglas”, agregó.

Validación con DNI y nominación de entradas

Por otro lado, Daly sugiere la validación con DNI en mano como una alternativa que podrían adoptar estas empresas. “La regla puede ser muy clara: vas con tu DNI y validamos que el QR corresponde al de DNI que utilizaste”, señala el experto. Además, podría sumarse la tecnología de reconocimiento facial para realizar una verificación más segura. “Con eso de alguna manera se puede desincentivar la reventa, advirtiendo a la gente que va a haber un control mucho más estricto”, añadió.

Teleticket incorporó recientemente una función similar en el concierto del puertorriqueño Bad Bunny el pasado 13 y 14 de noviembre llamada nominación de entradas.

Se trata de un proceso de vinculación de tickets con el nombre y el DNI de quien asistirá al concierto. La implementación de esta medida reduce significativamente las posibilidades de que las entradas sean falsificadas y, por lo tanto, revendidas.

¡Tus e-tickets para el concierto de Romeo Santos serán nominativos! 🎶🎫🔥



¡Aquí todo lo que debes saber!🤩 Recuerda que por tu seguridad, tus e-tickets estarán resguardados en tu cuenta y solo podrás descargarlos desde el 3 de febrero del 2023 luego de la nominación. 🚨 pic.twitter.com/qfUYRJBI4I — Teleticket (@teleticketperu) November 15, 2022

La empresa también ha decidido ponerla en práctica en la presentación de Romeo Santos, quien visitará Lima el 10, 11 y 12 de febrero del 2023.

Sistema de ventas presencial y refuerzo en ciberseguridad

Daly sugiere aperturar la venta de entradas de forma presencial para personas que deseen adquirir una mayor cantidad de boletos. “Las personas que requieren más de cierta cantidad de entradas, pues que se pongan en contacto o que vayan a un centro presencial para comprar más entradas y acreditar el motivo”, señaló.

Al respecto, El Comercio intentó ponerse en contacto con Teleticket y, si bien mostraron interés en un inicio, no volvieron a tomar comunicación con nosotros.

Finalmente, el refuerzo de las pruebas de ciberseguridad también es una recomendación que destacan los expertos. Azahuanche sugiere que los testers simulen escenarios de ciberataque y así ver cómo responde la aplicación. Por ejemplo, en el caso de las colas de espera, se podrían incluir pruebas como “la manipulación de parámetros, el aseguramiento de los servidores y que las conexiones estén cifradas”.