Seguridad en el comercio electrónico: amenazas, dimensiones y mecanismos de prevención

Es un concepto común para los ecommerce managers y aun así pareciera que ­–para algunos– la seguridad está en segundo plano, quizá porque piensan que no son un objetivo importante o no necesitan tecnologías de seguridad avanzadas.

Sin embargo, la seguridad no debería ser un tema subestimado en el comercio electrónico. Para muestra un dato: los especialistas del Banco Interamericano de Desarrollo estiman que Latinoamérica recibe más de 1,600 ciberataques por segundo.

¿Cuáles son las amenazas y problemas que más enfrenta el comercio electrónico?

Considerando que el comercio por internet tuvo ingresos por 5.7 billones de dólares a nivel mundial solo en 2022 (según estimaciones de Statista), no es difícil pensar que los cibercriminales seguirán usando todas las herramientas a su favor para sacarle provecho. Y los especialistas ya saben cuáles son las amenazas más comunes:

• Phishing

Se utilizan emails falsos o sitios web engañosos (que parecen ser legítimos, pero no lo son) para robar información confidencial. Podría creerse que el administrador o colaborador de un ecommerce no caería tan fácilmente en este tipo de estafa, pero mientras más información sobre la empresa y la persona puedan recopilar en internet, mayor es la posibilidad de caer en una estafa de spear phishing.

Con esta técnica avanzada de phishing, el atacante cubre temas relacionados con el campo de especialización o la función de esa persona, con detalles específicos que le dan mayor legitimidad al mensaje y aumentan la probabilidad de que el destinatario haga clic en algún enlace malicioso o descargue archivos infectados.

• Whaling

Es phishing dirigido específicamente a personas de alto rango en una empresa (por ejemplo: directores, presidentes y directores de operaciones). Los correos de whaling suelen tener información personalizada para el destinatario y su organización, para ganarse su confianza y con suerte obtener acceso ilegal a datos sensibles de la compañía.

• Pharming

La evolución del phishing, que consiste en implantar código malicioso en una computadora personal o en un servidor para redirigir al usuario a sitios web falsos, sin su conocimiento ni autorización. Usualmente estos sitios fraudulentos le piden al usuario introducir información personal que luego se utiliza para robar su identidad o información.

• Malware

Es software malicioso que utiliza virus, spyware, troyanos o adware para infiltrarse en un sistema digital, con el objetivo de robar información o dañar su infraestructura.

• Ataques de Denegación de Servicio (DDoS)

Son intentos de sobrecargar un sitio web con tráfico falso para que el servidor colapse y los usuarios legítimos no puedan acceder al sitio. Al caer la tienda online, ésta puede perder ventas, credibilidad y ­–si dura mucho tiempo caída­– visibilidad en los motores de búsqueda.

• Inyección SQL

Se “inyecta” código SQL malicioso en un sitio web para acceder a datos protegidos o manipular bases de datos. A veces el objetivo es simplemente generar caos, pero la mayoría de las ocasiones su meta es recopilar información valiosa de las bases de datos para utilizarla a su beneficio o venderla en la dark web.

• Vulnerabilidades XSS

Los hackers consiguen modificar el código de la página “oficial o genuina” para redirigir a los usuarios a sitios donde pueden robar sus datos. A diferencia de la inyección SQL, que está dirigida a robar bases de datos de las tiendas online, este tipo de ataque se enfoca en los usuarios finales.

• E-skimming

Esta técnica consiste en acceder sin permiso a la tienda online, aprovechando alguna vulnerabilidad en su código o vulnerándola con otro tipo de ataque para sustraer información bancaria de los clientes.

• Bots

Desafortunadamente, la industria del comercio electrónico es una de las que más recibe ataques de bots automatizados que buscan acceder a las cuentas de los clientes, robar información bancaria o incluso borrar el contenido y los precios del ecommerce (una táctica de competencia desleal).

• Tácticas de fuerza bruta

En este tipo de ciberataque se utilizan programas que prueban múltiples combinaciones de usuario y contraseña hasta descifrar el acceso correcto a la cuenta.

• Riesgos internos (negligencia, insiders, filtraciones de datos)

Ya sea por descuido, negligencia o malas intenciones, tus colaboradores también juegan un papel importante en la seguridad de tu ecommerce. Pueden borrar accidental o intencionalmente tu información, pueden robarla para realizar estafas o venderla, o pueden no estar conscientes de que usar contraseñas débiles pone en bandeja de plata el acceso a la información importante para tu empresa.

En tu día a día debes hacer todo lo posible por resguardar la integridad de tus transacciones digitales e invertir en prevenir los fraudes online. ¿Cómo empezar o reforzar tu estrategia? Enfócate en las dimensiones de seguridad que existen para los comercios electrónicos:

Autenticación

Consiste en uno o varios procedimientos ­cuyo objetivo es verificar que un usuario sea “auténtico” o quien dice ser. Son la base de toda estrategia de seguridad, pues controlan el acceso para que no entren personas indebidas.

Existen siete principales modelos de autenticación:

1. Por usuario y contraseña: El más común en la mayoría de los sitios web a nivel mundial. Es el modelo más cómodo y sencillo, pero también el más vulnerable.
   
   
2. Por conocimiento: Basada en información que solo el usuario conoce; por ejemplo, cuando estableces una pregunta de seguridad como “¿Cuál es el nombre de tu primera mascota?” para reestablecer tu contraseña.
   
   
3. Código QR: Se le pide al usuario usar la cámara de su dispositivo para escanear un código que le permitirá acceder a un documento, aplicación o plataforma específica de forma privada.
   
   
4. Código de un solo uso: Ya sea a través de un correo electrónico o un SMS, el usuario recibe un código numérico o alfanumérico en tiempo real, el cual tiene que ingresar para completar una compra, trámite o transacción confidencial.
   
   
5. Biometría: Se recurre al reconocimiento facial, los lectores de huellas, la biometría de voz e incluso al reconocimiento de iris para obtener acceso o realizar una transacción.
   
   
6. Por token: Se utiliza un dispositivo físico para acceder a un recurso restringido. Generalmente se ocupa como complemento a la contraseña, y es ampliamente usado por las instituciones bancarias.
   
   
7. Certificado digital: Principalmente usado en trámites de administración pública, el certificado digital se emite para verificar inequívocamente la identidad real de la persona.

Autorización de pagos

En un ecommerce es importante tener un sistema de revisión y aceptación de pagos en línea que se encargue de verificar, por ejemplo, si la tarjeta tiene fondos suficientes y si puede utilizarse legítimamente para pagar el producto o servicio.

Confidencialidad de los datos

Para prevenir la divulgación de información ­– ya sea de forma autorizada o no autorizada, intencional o involuntaria­ –, se utilizan métodos de confidencialidad como:

• El cifrado de datos: Algoritmos matemáticos convierten la información en un “código” ilegible para los usuarios que no tienen acceso autorizado. La única forma de leerlos es teniendo una “llave” o clave.
• Los firewalls o cortafuegos: Sistemas que se encargan de inspeccionar el tráfico de internet para reconocer a los usuarios y restringir el acceso a quienes no tienen autorización.
• Las listas de control de acceso: Conjuntos de reglas para filtrar el tráfico IP, protegiendo al sistema de accesos no autorizados.
• Los permisos de archivos y carpetas: Sirven para designar quiénes tienen permiso de ver, descargar o cambiar un archivo o directorio. Un ejemplo es la función de permisos en los archivos de Google Drive.
• Los pentestings o pruebas de penetración: Los sistemas de defensa de tu tienda online reciben ataques de prueba para conocer el grado de seguridad que tienen ante una amenaza.

Compliance

En defensa de los consumidores y usuarios, en México (como en muchos otros países) existen figuras jurídicas que regulan al comercio electrónico; entre ellas se encuentran la Ley Federal de Protección al Consumidor, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la Ley Federal del Derecho del Autor, la Ley de la Propiedad Industrial y otras más.

Es fundamental asesorarte para cumplir con la normativa vigente y evitar riesgos de responsabilidad penal, civil y administrativa.

Disponibilidad

Es garantizar que ninguna eventualidad prevenga que los usuarios autorizados puedan acceder a información, servicios o aplicaciones de la red. Para que tu tienda online siempre esté disponible existen soluciones de recuperación ante desastres (backup), que te permiten restaurar tus datos y cargas de trabajo inmediatamente después de eventos como un ciberataque, un error humano o un desastre natural que haya afectado a tus servidores.

Integridad

Es la capacidad de proteger los datos contra cualquier modificación, eliminación, creación o duplicación no autorizada. Básicamente se trata de mantener intacta cualquier información que tus clientes te hayan compartido.

Para garantizar la integridad de tus datos puedes recurrir a mecanismos de seguridad como:

• Instalar un certificado SSL.
• Usar autenticación de múltiples factores (es decir, combinar varios de los modelos de autenticación que mencionamos previamente).
• Solicitar el código CVV (Card Verification Value) que contienen las tarjetas físicas para poder completar la compra online.

No repudio

Consiste en tener los medios (es decir, pruebas) para que tanto el vendedor como el comprador puedan demostrar que existe una transacción entre ambas partes. En palabras más simples significa que si, por ejemplo, un comprador niega haber realizado una compra y tú tienes prueba de que eligió algo y llenó los datos de compra, entonces el reclamo no es viable.

Privacidad

Es proteger la información que recopilas sobre las actividades de los usuarios, por ejemplo, las páginas que visitaron, la localización geográfica desde donde te visitaron, su dirección IP, etc.

Para garantizar la privacidad de los datos están las tácticas que ya mencionamos antes, como el cifrado y los modelos de autenticación. A ello puedes sumar mecanismos de seguridad como el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés), que está diseñado para proteger datos de tarjetas bancarias.

Seguridad de la comunicación

Es garantizar que el intercambio de información solo fluya entre los visitantes/clientes y tu empresa; por ejemplo, si un cliente ingresa sus datos de cuenta o bancarios, que éstos no sean desviadas o interceptados durante el recorrido que toman hasta llegar a los servidores de tu ecommerce.

En este punto entran en juego los certificados SSL, el protocolo SET (Secure Electronic Transaction), el CVV, las copias de seguridad (backup) y el uso de contraseñas y servidores seguros.

Como puedes ver, la seguridad es esencial para mantener la confianza de tus clientes y garantizar el éxito continuo de tu negocio en internet. Adoptar protocolos de seguridad sólidos y estar al pendiente de las amenazas emergentes es fundamental para mantener un entorno en línea seguro y confiable.

Mantén tu ecommerce protegido procurando siempre tener en tu estrategia:

• Un certificado SSL actualizado y adecuado al nivel de operaciones que manejas en tu sitio.
• El estándar PCI DSS para procesar pagos con tarjeta.
• Sistemas de protección antifraude para que apruebes tus pedidos legítimos y rechaces las ventas fraudulentas.
• Firewalls para controlar el tráfico de red y prevenir accesos no autorizados.
• Sistemas de detección de intrusiones y sistemas de prevención de intrusiones para monitorear y bloquear actividades maliciosas.
• Backups regulares.
• Sistemas operativos, aplicaciones y plugins actualizados para corregir vulnerabilidades conocidas.
• Contraseñas fuertes, difíciles de hackear.
• La autenticación de dos factores para agregar una capa adicional de seguridad a las transacciones.
• Herramientas de monitoreo para detectar patrones de actividad inusual y realizar un análisis de registros para identificar posibles brechas.
• Educación y concientización. Capacita a tus empleados y clientes sobre prácticas seguras en línea y cómo reconocer posibles amenazas, como emails de phishing.

Te invitamos a continuar el tema con nuestro ebook “Riesgo de Fraude en Ecommerce — La Guía Definitiva para aumentar las ventas en línea de forma segura” que puedes descargar de forma gratuita; estamos seguros de que te ayudará a entender cómo se ve el fraude hoy en día. Y a explorar el blog de Clearsale para encontrar más temas relacionados a la prevención del fraude.