El comercio electrónico: medidas de ciberseguridad
Autor: Juan Delfín Peláez Álvarez, Experto en Ciberseguridad de INCIBE
La sociedad de la información ha evolucionado junto con las redes de comunicación, en particular con la irrupción de Internet, provocando un gran cambio de paradigma en la sociedad. La información se procesa, almacena y transmite sin restricciones de distancia, tiempo, ni volumen. Este nuevo entorno tiene una gran trascendencia tanto para las empresas, como para los ciudadanos.
Los mercados se han transformado en globales y digitales en poco tiempo. La globalización, el aumento de capacidad y velocidad de las transacciones y la movilidad, provocados por la rápida evolución de la tecnología han dejado obsoleta la forma de entender los negocios.
Las antiguas reglas, las leyes y las normas se quedan escasas y es necesario reformularlas. En este entorno, la seguridad cobra un sentido especial.
Todas las propiedades del mercado digital (velocidad, capacidad, movilidad,…) son aprovechadas y explotadas por aquellos que pretenden obtener beneficio de manera fraudulenta, los denominados cibercriminales o ciberdelincuentes.
En un contexto globalizado, la ciberseguridad es un elemento clave para el desarrollo económico. La protección frente a las amenazas (introducción de código dañino en sistemas, ataques a páginas web para robar información, cometer fraude electrónico y robo de identidad on-line,…) y el fomento de la seguridad constituyen factores esenciales para el desarrollo de la economía de Internet.
El gran pilar del desarrollo de la economía digital se apoya en el comercio electrónico también conocido como e-commerce. La compra-venta de productos utilizando medios telemáticos permite llegar a un número mayor de posibles clientes 24 horas al día, 365 días al año.
El comercio electrónico ha aumentado considerablemente en los últimos años y se espera que siga creciendo en los próximos. Por tanto, las empresas deben de adaptarse y evolucionar hacía este mercado digital, teniendo como uno de sus principios rectores la ciberseguridad.
Para comprender mejor las formas de ataque usadas por los ciberdelincuentes es necesario conocer cuáles son sus motivaciones. Los ciberdelincuentes tienen como principal objetivo el beneficio económico. Para ello utilizan diferentes vectores de ataque como veremos en el siguiente apartado.
Para conseguir su objetivo pueden robar distinta información confidencial como es la cartera de clientes de una organización o información bancaria como el número de tarjeta, entre otros. Una vez que los ciberdelincuentes obtienen la información que quieren, pueden utilizarla para otros ataques o venderla en el mercado negro.
Pero también pueden existir otros dos objetivos:
- Dañar la imagen corporativa: para ello, pueden utilizar técnicas como la modificación de la página web de la organización cambiándola por otra degradante para la imagen de la empresa o una imagen reivindicativa. Este tipo de ataques contra la imagen corporativa causan además del daño económico por pérdida de confianza de los clientes, el deterioro de su imagen de marca.
- Aprovechar los recursos tecnológicos de la empresa para atacar a terceros: se utilizan los recursos tecnológicos de la empresa para poder obtener beneficio económico de un tercero. Si nuestra web no es segura, pueden utilizarla para poder distribuir malware, alojar un phishing, infectar nuestro servidor web para utilizar su capacidad de red entre otros tipos de acciones maliciosas.
Es por ello, que cuando se crea una tienda virtual es necesario adoptar una serie de medidas de protección específicas contra el fraude.
Es necesario implementar todos los mecanismos de seguridad posibles que detecten y eviten el fraude y facilitar a los clientes herramientas que mantengan su seguridad en su trato con nosotros.
Para conseguir un nivel de ciberseguridad aceptable es necesario tomar medidas en áreas distintas:
CONCIENCIACIÓN Y FORMACIÓN
En las organizaciones no suele existir un plan de concienciación ya sea por falta de recursos o por desconocimiento. Para solucionar este problema se hace imprescindible la puesta en marcha de un plan de concienciación y formación para los miembros de la organización. El plan de concienciación tiene como objetivo crear y catalizar una cultura de seguridad dentro de la organización, de este modo se reducen los riesgos globales a los que se enfrenta una organizaci
CONFIGURACIONES Y ACTUALIZACIONES
Para que la tienda virtual realice sus funciones de manera correcta es necesario adoptar una serie de medidas de seguridad, entre ellas se contemplan:
Disponer de un certificado SSL (Secure Socket Layer) para identificar del sitio web de forma inequívoca, y la información transmitida entre el navegador del cliente y el servidor donde está alojada la tienda virtual viaje cifrada.
PASARELA DE PAGO SEGURA
La pasarela de pago que se implemente en la tienda debe de tener un certificado SSL de validación extendida, de esta manera el cliente identificará la entidad bancaria a la que pertenece de manera inequívoca y sus datos bancarios viajaran cifrados. Estas pasarelas de pago, es común que las proporcionen las entidades bancarias, recibiendo el nombre de “TPV virtual” o simplemente “TPV”.
PERMISOS ADECUADOS
Aplicar de manera correcta los permisos a una tienda virtual es importante ya que una mala gestión de los mismos puede provocar vulnerabilidades. La mayoría de tiendas virtuales están creadas con un CMS por lo que aplicar los permisos adecuados a archivos y directorios es importante para la seguridad de la tienda.
CONFIGURACIÓN CORRECTA DEL CMS
La gran mayoría de tiendas virtuales están creadas utilizando un CMS e-commerce y como todo software, los CMS pueden tener vulnerabilidades que pueden ser aprovechadas por los cibercriminales. Una gran cantidad de estas vulnerabilidades se deben a malas configuraciones del CMS.
Hay que prestar atención especial a las contraseñas de la base de datos, modificar los prefijo de las tablas de la base de datos, las actualizaciones de los CMSs, los usuario y contraseñas de la zona de administración, así como el borrado de los directorios de instalación.
SELECCIÓN DE HOSTING
Antes de alojar la tienda virtual en un servicio de hosting externo es necesario recabar información sobre la Reputación del proveedor, el Tipo de alojamiento, el soporte que nos presta, elementos técnicos, políticas de seguridad, y en general las condiciones de uso del servicio.
BASTIONADO DEL SERVIDOR
Bastionar un servidor dedicado y hacerlo seguro para los distintos dispositivos que están conectados a la red es una tarea que debe realizar un profesional, aspectos como, donde va a estar ubicada la web, cómo se va a realizar la Monitorización del tráfico de la red, así como que existan adecuados registros y logs de la actividad, es necesario para un buen bastionado.
Estas son algunas de las medidas esenciales para conseguir un nivel de ciberseguridad es adecuado.
Si la tienda online quiere vender no basta con tener unos precios que compitan con los de las demás tiendas de su sector sino que tiene que inspirar confianza para que compre en nuestra tienda y no se vaya a la competencia, y esto en parte se consigue manteniendo unos buenos niveles de ciberseguridad.
Juan Delfín Peláez Alvarez, Experto en Ciberseguridad de INCIBE
juan.pelaezalvarez@gmail.com