6 consejos de ciberseguridad para que tu empresa de comercio electrónico sea segura

La ciberseguridad en un comercio electrónico es tan importante como el tipo de producto o servicio que vendemos. Presentamos 6 claves imprescindibles para proteger mejor nuestros intereses y los de nuestra clientela.

Consejo 1. Protege tus datos de clientes

Los datos personales y financieros de tus clientes son un activo valioso que debes proteger con las máximas garantías cuando hablamos de ciberseguridad en un comercio electrónico. No se trata solo de cumplir con la Ley Orgánica de Protección de Datos, sino también de cifrar los datos personales de cada compra. De no ser así, expondríamos a quien confíe en nuestra oferta a ser víctima de diversos tipos de fraudes, como:

• Phishing. Se envía un correo electrónico a la cuenta personal del cliente personalizándolo con su nombre. Se le solicita que haga una acción concreta para tener acceso a su cuenta corriente. Por ejemplo, se le pide que verifique sus datos bancarios o que actualice su contraseña. Si el cliente hace clic en el enlace que se le proporciona, será redirigido a una página falsa que imita la del banco o la del comercio electrónico y que robará sus credenciales.
• Fraude amigo. El proceso de compra es legítimo, pues el pago se realiza con los datos del cliente, pero se denuncia el fraude. Nos quedamos sin mercancía y sin poder reclamar. Por ejemplo, el cliente recibe el producto y luego reclama a su banco que no reconoce el cargo. El banco le devuelve el dinero y nosotros perdemos el importe y el producto.
• Triangulación. Se roban los datos de la tarjeta de un cliente para realizar una compra en otro comercio ilegítimo. Este realiza el pedido a uno legítimo pagando con la tarjeta robada. La transacción sería legal hasta que se presentase la denuncia. Por ejemplo, el cliente compra un móvil en una tienda online fraudulenta que le ofrece un precio muy bajo. La tienda usa los datos de otra tarjeta robada para comprar el móvil en una tienda real y lo envía al cliente. El cliente recibe el móvil, pero el dueño de la tarjeta robada denuncia el cargo y la tienda real pierde el dinero y el producto.
• Robo de identidad. Se obtienen los datos personales de un cliente mediante técnicas como el phishing, el malware o el robo físico de documentos. Estos datos se usan para suplantar la identidad del cliente y realizar compras fraudulentas en su nombre. Por ejemplo, se accede al correo electrónico del cliente y se cambia la contraseña. Luego se usa ese correo para restablecer las contraseñas de otras cuentas, como las de las redes sociales, las plataformas de streaming o los servicios de pago online. Con estas cuentas se pueden hacer compras sin que el cliente lo sepa hasta que reciba los cargos o las notificaciones.
• Carding. Se usa una tarjeta robada o generada por un programa informático para realizar compras online sin autorización del titular. Por ejemplo, se usa un software que genera números aleatorios de tarjetas y se prueba su validez en páginas web que no requieren CVV ni 3DSecure. Si alguna tarjeta funciona, se usa para comprar productos digitales o servicios online que no requieren una dirección física de envío.
• Ransomware. Se infecta el ordenador o el dispositivo móvil del cliente con un programa malicioso que bloquea sus archivos o su acceso al sistema y le pide un rescate para liberarlos. Por ejemplo, se descarga un archivo adjunto de un correo electrónico sospechoso o se visita una página web infectada. El archivo o la página ejecuta un código que cifra los archivos del cliente y le muestra un mensaje en el que le exige un pago en bitcoins para enviarle la clave de descifrado.

Consejo 2. Mantén tu sitio web seguro

Los ciberdelincuentes también se encargan de vulnerar una página web para conseguir beneficios. Las situaciones más frecuentes que se produce en la ciberseguridad en un comercio electrónico son:

• El uso de malware. Si la página no cuenta con las medidas de seguridad más adecuadas, un delincuente puede introducir un malware en el sistema. Cualquier transacción quedará grabada y sus datos podrán ser utilizados para obtener un beneficio económico. Por ejemplo, se instala un keylogger que registra todo lo que se teclea en el teclado, como las contraseñas, los números de tarjeta o los códigos de seguridad. Estos datos se envían al atacante, que puede usarlos para acceder a las cuentas del comercio electrónico o de los clientes y realizar operaciones fraudulentas.
• XSS o Cross-Site Scripting. Si un sitio web se ha generado de forma dinámica, es susceptible de ser atacado de esta manera. El script oculto en una solicitud legítima se activa en cuanto el cliente potencial hace clic sobre ella. Las puertas de entrada son el blog, el foro, el buscador y los formularios del sitio web. Tras el acceso, los objetivos son alterar las cookies de seguimiento, instalar publicidad e incluso alterar la conexión SSL. Por ejemplo, se inserta un código malicioso en un comentario de un blog que redirige al usuario a una página falsa que le pide sus datos personales o bancarios. Si el usuario introduce sus datos, estos serán robados por el atacante.
• El ataque de inyección SQL. Consiste en infiltrar un código intruso que valida de forma incorrecta las variables del programa que funciona con SQL. Por ejemplo, se introduce una consulta SQL en un campo de texto que permite acceder a la base de datos del sitio web y extraer o modificar la información que contiene, como los datos de los clientes, los productos o las transacciones.
• CSRF o Cross Site Request Forgery. El cliente se ve obligado a realizar acciones no deseadas sin saberlo. Nos referimos al traspaso de fondos o al cambio de la dirección de correo electrónico. Por ejemplo, se envía un correo electrónico al cliente con un enlace que parece inofensivo, pero que en realidad ejecuta una acción maliciosa en el sitio web al que está autenticado. Si el cliente hace clic en el enlace, puede cambiar su contraseña, modificar su perfil o realizar una compra sin su consentimiento.
• Una mala gestión de la página de errores. La lectura de los informes de errores debe ser detallada para identificar dónde están los problemas y corregirlos. Sin embargo, si estos informes se muestran al público, pueden revelar información sensible sobre el sistema que puede ser aprovechada por los atacantes. Por ejemplo, si se muestra un error que indica la versión del servidor web o del lenguaje de programación que se usa, el atacante puede buscar vulnerabilidades conocidas para esa versión y explotarlas.
• Defacement. Se trata de modificar la apariencia o el contenido de un sitio web sin autorización del propietario. El objetivo puede ser desde causar daños a la imagen o la reputación del comercio electrónico hasta engañar a los usuarios para que realicen acciones fraudulentas. Por ejemplo, se cambia el logotipo o el nombre del comercio electrónico por otro similar o se inserta un mensaje falso que anuncia una oferta irresistible o una alerta de seguridad.
• Brute force. Se trata de intentar adivinar las contraseñas o los códigos de acceso al sistema mediante la prueba y error de diferentes combinaciones posibles. El atacante puede usar programas informáticos que generan y prueban miles de contraseñas por segundo hasta dar con la correcta. Por ejemplo, se intenta acceder al panel de administración del comercio electrónico probando diferentes nombres de usuario y contraseñas hasta encontrar la combinación válida.
• Sniffing. Se trata de interceptar y analizar el tráfico de datos que circula por una red para obtener información confidencial o sensible. El atacante puede usar programas informáticos que capturan y filtran los paquetes de datos que se envían y reciben entre el servidor y el cliente. Por ejemplo, se monitoriza la red Wi-Fi pública de un centro comercial para capturar los datos de las compras online que realizan los usuarios conectados a esa red.

Consejo 3. Protege tus pagos

El abono con la numeración de una tarjeta robada o los datos de otro cliente supone un problema legal que podría complicar el futuro de un negocio. En Pasiona recomendamos en la ciberseguridad en un comercio electrónico usar las siguientes medidas de protección de la pasarela de pagos:

• La solicitud del CVV. Son los tres dígitos que aparecen en la parte posterior de la tarjeta. Es de utilidad exclusivamente si el cliente utiliza para sus pagos una tarjeta con CVV temporal.
• 3DSecure. Mastercard y Visa lo desarrollaron y cada vez se generaliza más su uso. El cliente debe verificar que está realizando la compra introduciendo un PIN exclusivo, al que se añade otro que se envía por SMS al teléfono del titular.
• Tarjetas virtuales. Son tarjetas que se generan de forma temporal y que solo se pueden usar para una compra o un periodo determinado. De esta forma, se evita que los datos de la tarjeta real puedan ser robados o usados para otras compras no autorizadas.
• Pago con móvil. Es una forma de pago que permite usar el teléfono móvil como si fuera una tarjeta, sin necesidad de introducir ningún dato bancario en el sitio web. El cliente solo tiene que acercar su móvil al terminal de pago o escanear un código QR para realizar la compra. El pago se realiza mediante aplicaciones como Google Pay, Apple Pay o Samsung Pay, que usan tecnologías como el NFC o el tokenización para garantizar la seguridad de la transacción.
• Servicios intermediarios. Son plataformas que actúan como intermediarias entre el comercio electrónico y el cliente, facilitando el proceso de pago sin compartir los datos bancarios del cliente con el comercio. El cliente solo tiene que registrarse en el servicio y vincular su tarjeta o su cuenta bancaria. Luego, puede realizar las compras usando su correo electrónico y su contraseña o su huella dactilar. Algunos ejemplos de estos servicios son PayPal, Stripe o Bizum.

Consejo 4. Actualiza tu software

Comenzamos realizando un análisis de la seguridad de los programas que empleamos para detectar cualquier tipo de incidencia. Es frecuente que se utilice un CMS, como WordPress o Shopify, para crear el comercio. Estas plataformas funcionan con complementos que podemos elegir libremente. Hay que quedarse solo con los más utilizados, al ser estos los que se actualizan más frecuentemente. Al mismo tiempo, no nos olvidemos de actualizar el CMS a las nuevas versiones que vayan surgiendo.

Además, también debemos tener en cuenta otros aspectos a la hora de elegir y configurar nuestro CMS, como:

• La elección del hosting. Es importante elegir un proveedor de alojamiento web que ofrezca un servicio seguro, confiable y rápido. Hay que evitar los hostings gratuitos o muy baratos, ya que pueden tener problemas de seguridad, rendimiento o disponibilidad. Hay que optar por un hosting que ofrezca un certificado SSL, un firewall, un antivirus, un sistema de copias de seguridad y un soporte técnico eficiente.
• El uso de certificados SSL. Son unos archivos digitales que cifran la comunicación entre el servidor y el cliente, garantizando la confidencialidad e integridad de los datos intercambiados. Un sitio web que usa SSL muestra un candado verde y el prefijo https en la barra de direcciones del navegador, lo que indica al usuario que está navegando por una página segura y verificada. El uso de SSL es obligatorio para las páginas web que manejan datos personales o financieros, ya que evita que estos puedan ser interceptados o modificados por terceros.
• El establecimiento de permisos adecuados. Son las reglas que definen quién puede acceder a qué recursos del sistema y qué acciones puede realizar sobre ellos. Es importante establecer unos permisos adecuados para evitar que usuarios no autorizados puedan acceder a información sensible o modificar el funcionamiento del sitio web. Hay que asignar los permisos mínimos necesarios para cada usuario o rol, siguiendo el principio de mínimos privilegios.
• La realización de copias de seguridad periódicas. Son copias de seguridad que se realizan con una cierta frecuencia para guardar el estado del sitio web y sus datos en un momento determinado. Estas copias permiten restaurar el sitio web en caso de que ocurra algún problema, como un ataque, un error o una pérdida de datos. Es recomendable realizar copias de seguridad diarias o semanales y almacenarlas en un lugar seguro y diferente al del hosting.

Completamos el proceso de ciberseguridad en un comercio electrónico mediante las actualizaciones periódicas que propone el sistema operativo que usemos en los ordenadores de nuestro negocio.

Recordamos que resulta imprescindible contar con un antivirus específico que permita detectar cualquier irregularidad en cuanto se produzca. También hemos de actualizarlo e ir adquiriendo nuevos planes de precios para potenciar su eficacia. Además del antivirus, debemos usar otras herramientas de seguridad, como un firewall, un antispyware o un antimalware, que nos ayuden a prevenir, detectar y eliminar los programas maliciosos que puedan infectar nuestro equipo o nuestra red.

Consejo 5. Forma a tus empleados

Los empleados son una parte esencial de la ciberseguridad en un comercio electrónico. La formación en ciberseguridad que se les ofrezca debe basarse en los siguientes puntos:

• La normativa y la política de seguridad del negocio. Tenemos crear unas concretas para que todos los trabajadores las conozcan y sepan cuáles son sus obligaciones. No dudemos a la hora de mantener reuniones con cada departamento, si hay alguna modificación. Informar claramente a los trabajadores es sinónimo de frenar la acción de los ciberdelincuentes.
• Un control de acceso regulado. Se debe implantar la norma de apostar por contraseñas robustas de acceso al sistema operativo y a las aplicaciones. En Pasiona aconsejamos, para aumentar su seguridad, cambiarlas al menos una vez al mes y no repetir contraseñas anteriores.
• El manejo de los programas antivirus utilizados. Todos deben saber cómo se configuran, cómo se debe actuar en caso de alerta y qué tipo de recursos tienen a su alcance.
• Las actualizaciones manuales o automáticas han de ser certificadas por parte de cada empleado.
• Los canales de transmisión de información han de estar cifrados y se deben tomar medidas concretas para evitar la filtración de datos.
• La gestión de los soportes extraíbles, como las memorias USB o los discos duros. Es imprescindible subrayar la importancia del control de cada dispositivo y de evitar el acceso a los puertos de cada uno de ellos.
• El uso seguro del correo electrónico, las redes sociales y los dispositivos móviles. Todos deben saber cómo proteger su identidad digital, cómo reconocer y evitar el phishing, el spam y el malware, cómo configurar la privacidad y la seguridad de sus cuentas y cómo usar el sentido común y la precaución al navegar por Internet.
• La gestión de las contraseñas y los accesos. Todos deben saber cómo crear y recordar contraseñas seguras, cómo usar un gestor de contraseñas, cómo activar la verificación en dos pasos, cómo cerrar sesión al terminar de usar un servicio o una aplicación y cómo notificar cualquier intento o sospecha de acceso no autorizado.
• La identificación y reporte de incidentes. Todos deben saber cómo reconocer los signos de un posible ataque o problema de seguridad, cómo actuar ante una alerta o una sospecha, cómo comunicar el incidente al responsable o al equipo de seguridad y cómo colaborar en la resolución del mismo.
• La aplicación de las normas y protocolos de seguridad establecidos. Todos deben conocer y cumplir las normas y protocolos que se hayan definido para garantizar la seguridad del comercio electrónico, como las políticas de uso aceptable, las medidas de prevención y protección, los procedimientos de actuación y recuperación, las responsabilidades y sanciones, etc.

Consejo 6. Contrata un servicio de ciberseguridad

Como hemos comprobado, la ciberseguridad en un comercio electrónico no es un complemento, sino una necesidad. Por ello, es altamente recomendable contratar un servicio profesional como el que te ofrecemos en Pasiona. La externalización de tan relevante aspecto de un comercio electrónico permite ganar en tranquilidad. Nuestros especialistas en la materia se encargarán de controlar cada proceso y tomar las medidas oportunas para evitar problemas. De este modo, se cumple con la legislación vigente y, al mismo tiempo, se protegen los intereses. Se trata de tomar la decisión más adecuada para garantizar el futuro de una propuesta comercial.