La ciberseguridad en el ecommerce

ciberseguridad en el ecommerceNo hay duda de que la ciberseguridad en el ecommerce se ha convertido en uno de los elementos clave que todo negocio tiene que tener en cuenta dentro de su actividad empresarial cotidiana.

El ecommerce, como otros negocios, está expuesto a múltiples amenazas y ha de tener en cuenta algunas pautas básicas para identificar transacciones fraudulentas y aumentar la confianza del usuario en el negocio.

Hoy hablamos de… ciberseguridad en el ecommerce.

Para abordar el tema de la ciberseguridad en el ecommerce, en Emprende con Recursos hemos seleccionado una guía publicada recientemente por el INCIBE que tiene por objetivo formar e informar a los empresarios y emprendedores sobre los aspectos esenciales de ciberseguridad en el ecommerce.

La guía abarca cuatro partes fundamentales:

  • Descripción de las principales motivaciones de los ciberdelincuentes
  • Principales formas de ataque contra un ecommerce
  • Principales medidas de protección contra los diferentes métodos de ataque
  • Forma de actuación si estas medidas fallan

Ciberamenazas

Según la guía, las amenzas online pueden venir por dos vías para atacar a la tienda online y la información relacionada con ella: a través de las personas que trabajan en la empresa;  bien a través del gestor de contenidos o del servidor web.

Algunos ejemplos de ciberseguridad en el ecommerce en el nivel personas:

  1. Ingeniera social: persuadir y engañar a una persona para influenciarla en sus acciones (el conocido ejemplo del USB olvidado en la cafetería que alguien lo emplea en su ordenador para ver a quién pertenece).
  2. Envío Urgente: relacionado con la compra fraudulenta. El cliente tiene mucha prisa por comprar un producto y afirma que lo pagará mediante transferencia bancaria. La tienda recibe un comprobante escaneado de la transferencia pero falsificado. 
  3. Spear phising: realizar ataques dirigidos hacia alguien en concreto. Se suele realizar por email empleando datos personales y conocidos de la victima (redes sociales, blogs personales y cualquier información publicada en Internet).

ciberseguridad en el ecommerce

En el caso de los ataques dirigidos contra el sistema:

En este caso, se busca explotar, según la guía, las vulnerabilidades relacionadas con el software que da soporte a la tienda o el servidor web. La ciberseguridad en el ecommerce se basa en detectar y combatir:

  1. Pago con tarjeta robada
  2. Malware: software malintencionado como virus, gusanos, troyanos, backdoors o spyware.
  3. Cross-site Scripting «XSS»: brecha de seguridad que se produce en páginas generadas dinámicamente. En un ataque por XSS, una aplicación Web envía con un script que se activa cuando lo lee el navegador de un usuario o una aplicación vulnerable. Dado que los sitios dinámicos dependen de la interacción del usuario, es posible ingresar un script malicioso en la página, ocultándolo entre solicitudes legítimas.
  4. Ataques de inyección SQL: es un método de infiltración de código intruso que se sirve de una vulnerabilidad presente en una aplicación en el nivel de validación de entradas para la realización de consultas a una base de datos. 
  5. Cross Site Request Forgery «CSRF»: obliga al usuario legítimo a ejecutar acciones no deseadas en una aplicación web en la que actualmente está autenticado. Estos ataques se dirigen específicamente a las peticiones de cambio de estado, no el robo de datos, ya que el atacante no tiene manera de ver la respuesta a la solicitud. Las acciones más comunes: transferencias de fondos, cambio de dirección de email, etc. 

Si integramos ambos roles, podemos encontrar:

A. Phising

Estafa cometida a través de usuarios legítimos en la que se intenta conseguir información confidencial contra los miembros de una organización (envío masivo de emails con enlaces a web falsas para la introducción de los datos personales). Existe una variante vía SMS conocida como smishing.

El phising también puede estar alojado en el software por una mala configuración o por la falta de actualizaciones de la empresa y tiene como objetivo alojar campañas fraudulentas en los servidores de la empresa.

B. Defacement

El objetivo es modificar una página web total o parcialmente. Para ello pueden acceder al gestor de contenidos o al servidor por medio de del propio sistema o del personal.

La idea es cambiar textos o incluir imágenes llamativas en la página principal, y el fin es, mayormente, dañar la imagen corporativa de la tienda.

ciberseguridad en el ecommerce

Protección

Un ecommerce debe tener en cuenta algunos elementos antes de salir al mercado que pueden ayudar a generar confianza en sus potenciales clientes.

  1. Certificado SSL para identificar al sitio de forma inequívoca y para que la información viaje cifrada (y por tanto ilegible si se intercepta). 
  2. Copia de Seguridad o backup.
  3. Pasarelas de pago seguro con medidas como CVV, 3DSecure o número PIN
  4. Configuración del CMS con contraseñas, prefijo de las tablas de la base de datos, actualizaciones, usuario y contraseña de la zona de administración y borrado del directorio de instalación.
  5. Selección del hosting: reputación de proveedor, tipo de alojamiento (Windows o Linux o CMS específicos), políticas de seguridad del proveedor, etc.

Por último, la ciberseguridad en el ecommerce tiene que ver con la forma de detección de compras fraudulentas y sus indicadores:

  • La existencia de varios intentos de compra erróneos en el TPV.
  • Verificar que la dirección de email sea verdadera y los datos del cliente coherentes (envío de email de confirmación de pedido puede ser una buena contramedida).
  • Varios clientes con la misma dirección de destino (los conocidos como «mulas» o intermediarios en el fraude).
  • Contratar servicios de empresas especializadas en pagos online y gestión del riesgo que hagan de intermediario entre tienda y cliente.

En definitiva, una serie de recomendaciones y medidas para que la ciberseguridad en el ecommerce deje de ser una asignatura pendiente, y se convierta en una necesidad estratégica de los negocios ante potenciales amenazas.

El objetivo: garantizar la confidencialidad de los datos y potenciar la confiabilidad de los clientes en el negocio.

Si deseas descargar la guía de INCIBE sobre ciberseguridad en el ecommerce, puedes hacerlo aquí

Pablo Blasco Bocigas

La ciberseguridad en el ecommerce

Deja un comentario