Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

En qué fijarse para saber si una tienda es fiable o se trata de una estafa

Josh
3

Ya que mucha gente abre hilos para preguntar por la fiabilidad de una tienda concreta, vamos a tratar de agrupar esas cuestiones bajo este hilo, donde aprovecho para repostear algunos consejos basados en este comentario de @rbetancor.

Antes de comprar en una tienda online, fijate en estos detalles para hacerte una idea de su fiabilidad.

  • ¿Hay una sección de Aviso Legal o Política de Privacidad donde figure claramente la identidad de la sociedad o persona física titular de la tienda?
  • ¿Cuenta con una sección de contacto donde aparece una dirección física y un teléfono? No está de más contactar y preguntar si el producto que te interesa está en stock para ver si hay alguien al otro lado.
  • Haz un whois al nombre de dominio y comprueba que tiene relación con el titular que aparece en la web.
  • ¿Usa certificado HTTPS?
  • Si está en castellano ¿las traducciones son correctas o parecen mal hechas?
  • ¿Concuerda el nombre del dominio con el contenido que se muestra?
  • Si buscas en Google el nombre de la tienda, ¿Qué opinan otros usuarios?

Si se os ocurre algún otro detalle, lo iré añadiendo.

sjlopezb
1

¿Usa certificado HTTPS?

Añadiría, que en el tema del HTTPS, es decir, httpS, siempre que estos sitios tengan los certificados de los certificadores de renombre (RapidSSL; SSL Corporation; VeriSign; thawte, Inc.,...).

En otro apartado que comentas del Whois, también indicar que, los mejores para comprobar estas cosas, si no falla:

webhosting.info/whois/

(link roto)

whois.com/whois/

Aunque, hay muchos más:

google.com/search?client=firefox-b-ab&q=…web+complete

Para whois en España, es a través de dominios.es/dominios/

Para los .eu:

eurid.eu/es/

Para China:

whois.marcaria.com/en/asia/cn-domain-sea…AEgKGsPD_BwE

A través de esta misma página, también las del resto del mundo, según cómo se mire:

whois.marcaria.com/es

En el mismo sitio, también se pueden comprobar de cada país.

Podría extenderme más pero, es mejor que no lo haga. Lo he dado casi todo.

Tienes mucha información para lo que uno busca.

🗨️ 15
Bramante

Añadiría, que en el tema del HTTPS, es decir, httpS, siempre que estos sitios tengan los certificados de los certificadores de renombre (RapidSSL; SSL Corporation; VeriSign; thawte, Inc.,...).

¿Entra Let's Encrypt en el grupo de "certificadores de renombre"?

🗨️ 9
rbetancor
1

Si, si el website usa pasarelas de pago como Paypal, si la pasarela de pago es exclusivamente 'interna' ... ni con un certificado del Papa.

sjlopezb

Let's Encrypt es gratuito. Para tiendas, es mucho mejor que sean certificados de alta reputación.

No lo digo por mal. eBay, Amazon, Aliexpress...estas no tienen Let's Encrypt.

Yo, hasta ahora, toco madera estando en páginas y sitios de compras, pero con los SSL's de cerificadores de renombre. No he tenido un solo día con ellos.

🗨️ 3
Bramante

Let's Encrypt es gratuito

Pero, ¿que sea gratuito lo elimina de la lista per se?

Porque:

Let's Encrypt también tiene lo suyo, no voy a decir que no, pero al menos vino a poner un poco de cordura en los precios de los certificados.

🗨️ 2
rbetancor
2
🗨️ 1
BocaDePez
BocaDePez
Josh
-1

Lo importante es que la comunicación está cifrada, quién sea el certificador es algo secundario (no digo irrelevante), por detrás de muchos otros detalles en los que fijarse. Y si, Let's Encrypt es totalmente fiable, aunque no garantiza la identidad de nadie.

🗨️ 3
Bramante

Exacto, a ese punto quería llegar yo.

sjlopezb

(...)Y si, Let's Encrypt es totalmente fiable, aunque no garantiza la identidad de nadie.

Exactamente.

BocaDePez
BocaDePez

Ni la gran mayoría de los de Digicert. Los que certifican identidad son caros y sólo se contratan cuando no hay más remedio.

BocaDePez
BocaDePez

Puedes conseguir un certificado Básic SSL de Thawte (Digicert) gratuitamente con datos falsos en 5 minutos

pepejil

¿Qué tiene que ver la entidad certificadora con la protección TLS que ofrece una web?

En mi empresa usamos Thawte y nos hicieron una faena con la mierda de Symantec vs. Google Chrome y con respecto a su seguridad, es igual que la que te genera Let's Encrypt.

Vamos que sabiendo los antecedentes, prefiero meter un script que genere un certificado Let's Encrypt cada 2 meses a "los trapos sucios" que tiene las grandes como ha comentado Bramante.

🗨️ 3
sjlopezb

Ya. pero eso es otra cuestión. Una cosa es que una empresa grande tenga un certificado SSL emitido por certificador de renombre, que una página pequeña o un blog (como el mío), que puedan usar el Let's Encrypt.

Vamos, que no es lo mismo.

🗨️ 2
pepejil

Thawte es de renombre y mira la que ha liado.

🗨️ 1
BocaDePez
BocaDePez

Si aceptan Paypal como medio de pago eso también aumenta las garantías sobre la compra.

🗨️ 1
Bramante

Esta es una pista importante y fundamental.

BocaDePez
BocaDePez

Fecha de registro del dominio, si ves algo raro y además se ha registrado recientemente sal corriendo.

Tener claro que el hecho de que aparezca el candado verde no es garantía de nada, hoy en día se puede conseguir un certificado gratuito de Let's Encrypt o Digicert con dos clicks de ratón y con datos falsos. Sólo si al mirar el certificado aparece la información del propietario es un certificado que garantiza su identidad.

BocaDePez
BocaDePez

Haz un whois al nombre de dominio y comprueba que tiene relación con el titular que aparece en la web.

A raíz de la aplicación del GDPR, ¿no se había eliminado esa información de las consultas de Whois?

🗨️ 6
sjlopezb

NO. De las empresas no. De los particulares, como en mi caso, sí.

🗨️ 5
rbetancor

Se ha eliminado de todo el mundo, no solo de particulares, solo se puede consultar el nombre del titular y siempre y cuando no tenga contratado un servicio de 'privacidad whois', en cuyo caso de nada te sirve la consulta.

🗨️ 4
BocaDePez
BocaDePez

Y teniendo en cuenta que la mayoría de hosting lo ofrecen gratis lo normal es que no veas nada

🗨️ 3
sjlopezb
🗨️ 1
BocaDePez
BocaDePez
superllo
1

Ola. Quisiera saber si la tienda http : // comprapepinochina.cn es fiable o no.

Gracias de antebrazo.

BocaDePez
BocaDePez

Añadiría como un plus, que la tienda tenga un certificado de tipo EV (de los que aparece el nombre de la empresa en la barra de navegador).

BocaDePez
BocaDePez

Añade, si los precios son excesivamente bajos para el producto en cuestión, o son falsos, o es un fraude la tienda.

Vins

Personalmente me da igual si tienen Https, si están mal traducidas, si el registro no se corresponde...

Lo único que miro es que acepten pago por paypal o tarjeta de crédito y que los artículos no tengan pinta o sean sospechosos de ser falsos.

Con esto si no me llega o lo que llega no es lo anunciado tanto paypal como las tarjetas de crédito te devuelven el dinero.

En caso de cosas que sean caras dónde importe la garantía entonces ya sí que miro más, pero que sea una tienda real, con dirección y teléfono y registro de IVA.

🗨️ 1
manualaprogramadora

Para mí lo del https es fundamental. Aunque hay muchas webs que no tienen https y luego al pagar te redirigen a la del banco que sí tiene https.

BocaDePez
BocaDePez

Comprobar el dominio en esta web: scamadviser.com

AnThraxII

Si es una empresa española, intento buscar información por el CIF y ver que cuadra la información con lo que ponen en la web, incluso de forma gratuita, hay veces, se puede ver los años que llevan dados de altas, facturación y número de empleados.