Es inviable pensar que un comercio electrónico pueda funcionar sin que aparezca en su estrategia la ciberseguridad. A pesar de no ser el único sector profesional amenazado por la aparición de cualquier ciberdelincuente, sí es uno de los que está más expuesto a estos riesgos.

Al igual que un ladrón en una tienda física, el objetivo de un ciberdelincuente es atacar un comercio electrónico para obtener un beneficio económico. Aunque esto puede ir todavía más allá del enriquecimiento personal. Un cibercriminal se puede aprovechar de los fallos de seguridad de un servidor para atacar desde él. O puede tratarse de un intento de fagocitar nuestra imagen corporativa.

Posibles amenazas

Un negocio de ecommerce puede ser atacado desde dos vertientes, el propio sistema o las personas que trabajan en él. En el primer aspecto, podemos encontrar:

– El uso de una tarjeta robada.

– Malware. Se trata de cualquier tipo de software que busque dañar nuestro sistema u obtener información de él como virus, gusanos o puertas traseras.

– Cross-Site Scripting “XSS”. En un sitio web dinámico, el ciberdelincuente se aprovecha de aquellos puntos que exigen la interacción con el usuario. A través de un script insertado en la web, se puede enmascarar como un formulario de búsqueda o de registro para hacerse con el control del dispositivo.

– Ataques de inyección SQL. En este caso, se trata de una infiltración a través de la base de datos del sitio web. Por problemas de código no validado correctamente, el cibercriminal puede realizar consultas a la base de datos.

– Cross Site Request Forgery “CSRF”. Este ataque fuerza al usuario a realizar acciones que no desearía hacer en una aplicación web. El atacante no tiene manera de robar los datos, pero sí de alterar el estado de esa web. Se aprovecha de la ingeniería social para engañar al usuario para que haga transferencias o cambios en su correo, por ejemplo.

Sin embargo, es de sobra conocido que el eslabón más débil de la cadena de seguridad es la persona. Para ello, se basan en distintas técnicas para robar información:

– Ingeniería social. El ciberdelincuente intenta engañar a una persona para influir en sus decisiones. El spear phising es de las técnicas utilizadas para que un usuario se descargue un archivo y lo abra para infectar el sistema.

– Envío urgente. Este engaño es menos sofisticado, pero igual de efectivo que el anterior. El cliente tiene mucha prisa por obtener un determinado artículo, normalmente con la excusa de una fiesta, por lo que precisa de una transferencia bancaria para pagar el artículo. Sin embargo, el recibo que envía es falso, pero el comerciante no tiene tiempo de comprobar su autenticidad antes de mandar el producto.

Podemos encontrar, además, otro tipo de ataques que afecten tanto a las personas como a las organizaciones:

– Phising. En el caso de las personas, se basa en la ingeniería social para robar información. Suelen utilizar el correo electrónico con una presentación de un sitio real, como un banco, para que introduzca sus datos. En el caso de un sistema, se aprovecha de un error en la configuración o que no haya actualizado el sistema.

– Modificar un sitio web. A través de la ingeniería social o el malware, un ciberdelincuente se introduce en el servidor con las credenciales de un miembro del equipo. También puede actuar buscando las vulnerabilidades o fallos de seguridad en el sitio de ecommerce.

¿Cómo evitar una intrusión?

El principal beneficio de la ciberseguridad es contar con la confianza para realizar cualquier venta en un sitio de comercio electrónico. Para conseguir esto, el primer paso es concienciar y formar los trabajadores de los riesgos de la tecnología.

El primer paso es averiguar todo sobre el hosting o alojamiento del sitio web. Desde su reputación y soporte técnico hasta todos los elementos técnicos. Es preciso revisar sus políticas de seguridad y sus condiciones de servicio.

No obstante, no debe nunca olvidarse de aplicar todas las medidas de seguridad en el sitio web. Un certificado SLL permite que identificar sin error un sitio web, además de encriptar las comunicaciones y comprobar si se han hecho cambios en cualquier comunicación.

Otro paso obligatorio es configurar correctamente el CMS, el sistema de gestión de contenidos. En primer lugar, hay que borrar los archivos de instalación para evitar vulnerabilidades. El CMS se debe actualizar para eliminar posibles fallos de seguridad, al igual que se debe utilizar una contraseña muy segura. Por último, hay que realizar copias de seguridad periódicas.

Para evitar el robo de información bancaria, será necesario contar con una pasarela de pago segura. Las medidas más utilizadas son el CVV, los tres números traseros de la tarjeta; y 3DSecure, la compañía de la tarjeta se encarga de la reclamación por fraude.

Beneficios para el cliente

El uso de todas las medidas de ciberseguridad posibles es una herramienta imprescindible para que los clientes confíen en nuestro ecommerce. Los problemas de seguridad son una lacra y un problema grave de imagen y reputación corporativa.

Perfil del autor

Moio

Entradas relacionadas

• Moio

  https://www.grupovalora.es/author/moio/

  Seur cambia el presidente y duplica su negocio internacional junto a Geopost
• Moio

  https://www.grupovalora.es/author/moio/

  SEUR Canarias presenta sus soluciones Clinic Frío y Clinic GDP
• Moio

  https://www.grupovalora.es/author/moio/

  SEUR Canarias: llevando medicamentos a cualquier punto
• Moio

  https://www.grupovalora.es/author/moio/

  Valora Logística: caso de éxito como operador logístico