Lo que necesitas saber sobre seguridad en el comercio electrónico frente a las amenazas cibernéticas

Los sitios de comercio electrónico siempre serán un objetivo atractivo para los ataques cibernéticos. Para los potenciales delincuentes, son un auténtico tesoro oculto de datos personales y financieros. Además, el coste de una brecha, tanto en términos de pérdida de datos como de confianza de los clientes, puede ser enormemente perjudicial para cualquier empresa, sea cual sea su tamaño.

Los propietarios de negocios de comercio electrónico son muy conscientes de estos problemas y están incrementando las medidas de seguridad. El informe sobre perspectivas de ciberseguridad del año 2020 de VMWare Carbon Black descubrió que el 77 % de las empresas encuestadas habían adquirido nuevos productos de seguridad en el último año y el 69 % había ampliado el personal dedicado ella.

En este juego constante del gato y el ratón, a medida que los minoristas en línea incorporan tecnologías cada vez más innovadoras a sus sitios web para continuar siendo competitivos, los ciberatacantes perfeccionan igualmente sus habilidades y encuentran nuevas vulnerabilidades que explotar. La mejor manera de ir por delante es conocer las mejores prácticas de seguridad en el comercio electrónico y los tipos de ataques a los que hay que estar atentos.

¿Qué es la seguridad en el comercio electrónico?

En los últimos años, la frecuencia y sofisticación de los ataques cibernéticos se ha disparado. La seguridad en el comercio electrónico comprende las medidas adoptadas para proteger a tu empresa y a tus clientes contra las ciberamenazas.

Veamos algunos términos y acrónimos comunes que debes conocer:

1. La norma de seguridad de datos para el sector de las tarjetas de pago (PCI DSS)

La norma PCI DSS (a menudo denominada simplemente «PCI») es un estándar del sector que garantiza que la información de la tarjeta de crédito recogida en línea se transmita y almacene de forma segura.

2. La Organización Internacional de Normalización (ISO).

La ISO es un organismo internacional de estandarización que establece requisitos que sirven de guía a las empresas para asegurarse de que sus productos y procesos son válidos. Una de sus normas, la ISO/IEC 27001:2013, cubre la seguridad de los datos. Para un empresa, conseguir esta certificación significa que dispone de sistemas de gestión, de seguridad de datos, de estrategias de prevención de riesgos y de prácticas empresariales homologadas de alta calidad.

3. Datos personales.

Por datos personales o información personal nos referimos a cualquier dato que pueda relacionarse con una persona concreta. En su forma más sencilla, esto incluye el nombre, la dirección de correo electrónico y el número de teléfono, pero también puede ser un poco más complicado. Cualquier conjunto de datos —incluso depurado de nombres o números concretos— que pueda identificar a una persona concreta se considera un dato personal. La protección de los datos personales es especialmente importante cuando se trata de normativas de privacidad de datos como el RGPD (más adelante se habla de ello).

4. Seguridad de la capa de transporte (TLS), capa de sockets seguros (SSL) y autenticación HTTPS.

El uso del protocolo SSL ayuda a autentificar y encriptar los enlaces entre los ordenadores en red. Una vez que tengas un certificado SSL para tu página web de comercio electrónico, puedes pasar de HTTP a HTTPS, lo cual constituye una garantía para los clientes de que tu sitio es seguro.

5. Autenticación multifactor (MFA), autenticación de dos factores (2FA) o verificación en dos pasos (2SV).

MFA, 2FA y 2SV se utilizan a veces indistintamente —pues son similares—, pero hay diferencias entre ellos. Además de tener que introducir un nombre de usuario y una contraseña, estos tres métodos requieren al menos un método más de verificación de la identidad del usuario que se conecta a un sitio, como, por ejemplo, a tu tienda de comercio electrónico.

Aquí tienes una breve explicación de las diferencias:

• 2SV puede requerir que el usuario introduzca un código de un solo uso, suministrado a través de un correo electrónico, un mensaje de texto o una llamada telefónica.

• La 2FA va un paso más allá y puede requerir que el usuario reconozca su intento de inicio de sesión a través de otro dispositivo, como abrir una aplicación determinada en un dispositivo móvil mientras se inicia la sesión desde un ordenador portátil.

• La MFA es similar a la 2FA pero puede referirse a la implementación de más de dos factores de autenticación

6. Denegación de servicio distribuido (DDoS).

Un ataque DDoS es aquel en el que se interrumpe el tráfico de un servidor, de un servicio o de una red saturándolos mediante una avalancha de tráfico. Este recurso de Cloudflare, que ofrece información más detallada sobre los ataques DDoS, los compara con un atasco de circulación. Imagina que intentas acceder a una carretera principal (eso representaría a tus clientes y al tráfico legítimo) en hora punta: todos esos coches son el tráfico afectado que bloquea la entrada de clientes a tu tienda.

7. Malware y ransomware.

El malware, o «software malicioso», es un software que los atacantes instalan en tu sistema. El ransomware es un tipo de malware con el que se mantiene a la víctima fuera de su sistema, o se le impide el acceso a los datos, hasta que se pague un rescate. Estos son algunos de los síntomas que puedes detectar si tu sistema se infecta:

• Los enlaces te dirigen a la página de destino equivocada

• Aparecen nuevas barras de herramientas o botones en tu navegador, o aparecen nuevos iconos en tu escritorio

• Sufres un bombardeo incesante de ventanas emergentes de publicidad

• Tu sistema es lento o se cuelga reiteradamente, o el navegador se bloquea con frecuencia y no responde

• Se devuelven tus correos constantemente

¿Qué es el cumplimiento normativo y en qué se diferencia de la seguridad?

Los conceptos de cumplimiento normativo y de ciberseguridad se utilizan a menudo indistintamente, y en cierto modo están relacionados, pero hay algunas diferencias importantes.

El cumplimiento normativo se refiere a la capacidad de cumplir una serie de normas concretas establecidas por los gobiernos o las instituciones privadas, y su incumplimiento puede tener repercusiones legales. Sin embargo, cumplir esa normativa no significa necesariamente que tu sitio de comercio electrónico sea totalmente seguro. Ten en cuenta que hay mucha normativa que tu empresa puede tener que cumplir. Aquí comentaremos únicamente algunas de las principales normativas relacionadas con la ciberseguridad.

1. El estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS).

Cualquier empresa que gestione transacciones con tarjetas de crédito debe cumplir los requisitos de la PCI DSS en materia de protección de los datos de los titulares de las tarjetas, independientemente del volumen de ingresos o de la cantidad de transacciones con tarjetas de crédito. Estos estándares de seguridad de datos están definidos por el Consejo de Normas de Seguridad de la PCI (PCI SSC) y los aplican las empresas de tarjetas de crédito.

2. Reglamento General de Protección de Datos (RGPD).

El RGPD es una ley relativamente reciente aprobada en la Unión Europea para garantizar la protección de los datos personales y la privacidad de los ciudadanos del Espacio Económico Europeo (EEE). No se aplica únicamente a las empresas de la UE; si vendes productos a nivel internacional a cualquiera de sus ciudadanos, tendrás que cumplir con el RGPD a la hora de procesar cualquiera de sus datos.

3. Ley de Privacidad del Consumidor de California (CCPA).

Tras la implantación del RGPD en la UE, el estado de California comenzó a avanzar hacia la implantación de su propia ley de protección de datos. El plazo para que las empresas que trabajan con o emplean a residentes de California se ajustaran a la CCPA fue el 1 de enero de 2020. El espíritu de la CCPA es similar al del RGPD en el sentido de que está dedicada a proteger los datos y la intimidad de los ciudadanos particulares, pero hay algunas diferencias importantes entre ellas. Si bien esta es la norma de protección de datos más reciente y de mayor alcance en EE. UU., al menos otros 15 estados tienen algún tipo de norma de privacidad o protección de datos personales.

Las mayores amenazas de seguridad para tu sitio de comercio electrónico

Los tipos y los métodos de los ataques cibernéticos son amplios y variados, y sería casi imposible profundizar en todos ellos en una sola publicación del blog. Pero hay algunos que destacan por su relevancia y que hay que conocer para conseguir una alta seguridad en el comercio electrónico.

1. Phishing.

El phishing es un tipo de ingeniería social y hace referencia a los métodos que utilizan los atacantes para engañar a las víctimas —normalmente a través del correo electrónico, los mensajes de texto o el teléfono— para que proporcionen información privada como contraseñas, números de cuenta, números de la seguridad social, etc.

Nota de BigCommerce: BigCommerce nunca te enviará un correo electrónico con un enlace para que actualices tu tienda o tus credenciales de acceso. Si recibes un correo electrónico, una llamada telefónica o un mensaje de texto de «BigCommerce» en el que se te solicitan datos personales, ponte en contacto directamente con el servicio de atención al cliente para confirmarlo.

2. Malware y ransomware.

Cuando tu dispositivo o tu red se infectan con malware o ransomware —un tipo de malware—, puedes quedarte sin acceso a todos tus datos y sistemas importantes. El tiempo de inactividad cuesta dinero, pero las copias de seguridad periódicas de los datos de tu sitio web pueden evitar que sea un golpe devastador para tu negocio. Si no haces clic en enlaces sospechosos ni instalas software desconocido en el ordenador, estarás mejor protegido contra los ataques.

3. Inyección SQL.

Puedes estar en riesgo si tu sitio de comercio electrónico almacena los datos de forma no segura en una base de datos SQL. Si no se valida adecuadamente, una consulta maliciosa inyectada en una carga útil empaquetada puede dar al atacante acceso para ver e incluso manipular cualquier información de una base de datos.

4. Scripts entre sitios (XSS).

XSS implica insertar un fragmento de código malicioso (normalmente JavaScript) en una página web. A diferencia de otros tipos de ataques, este no afecta al sitio en sí, pero sí a los usuarios de esa página (es decir, a sus compradores), exponiéndolos a malware, intentos de phishing y más.

5. E-skimming.

El e-skimming se refiere a un método para robar información de tarjetas de crédito y datos personales de las páginas de procesamiento de tarjetas de pago en sitios de comercio electrónico. Los atacantes obtienen acceso a su sitio mediante un intento exitoso de phishing, un ataque de fuerza bruta, XSS o un compromiso de terceros, y luego capturan en tiempo real la información de pago que sus compradores ingresan en la página de pago.

Mejores prácticas para la seguridad en el comercio electrónico

Las normativas mencionadas anteriormente no van a desaparecer. De hecho, la creciente preocupación por la privacidad indica que debemos esperar más normas en el futuro, ya que cada vez más personas de todas las edades están preocupadas por el uso que se pueda hacer de sus datos.

Este informe sobre la investigación de las violaciones de datos profundiza en las tendencias de los ataques cibernéticos en el sector minorista. La información de los pagos se revela como el objetivo principal y los ataques a los comercios electrónicos siguen aumentando, mientras que las intrusiones en los puntos de venta y la usurpación de tarjetas están, en general, disminuyendo.

Más allá de que una violación de la seguridad de tu sitio de comercio electrónico conlleve la pérdida de datos de los clientes, las multas asociadas —y el impacto a la reputación de tu marca— pueden ser devastadores.

1. Utiliza contraseñas seguras y únicas, y asegúrate de que tus clientes también lo hagan.

Según el informe de Verizon sobre las investigaciones de las violaciones de datos del año 2020, el 37 % de las violaciones por robo de credenciales emplearon credenciales robadas o débiles. Vale la pena hacer un esfuerzo adicional para asegurarte de que tú, tus empleados y tus clientes aplicáis las medidas adecuadas respecto a la seguridad de las contraseñas:

• Las contraseñas seguras tienen al menos ocho caracteres y contienen letras mayúsculas y minúsculas, números y símbolos.

• Las contraseñas nunca deben compartirse; cada usuario debe tener su propio nombre de usuario y contraseña, únicos y privados, para iniciar la sesión.

• Nunca utilices la misma contraseña que utilizas para tu sitio de comercio electrónico en otras credenciales de acceso.

• Plantéate utilizar un gestor de contraseñas.

• Nunca compartas públicamente información confidencial como tu fecha de nacimiento, número de la seguridad social o cualquier otra información que puedas utilizar como respuesta a las preguntas de seguridad.

«No utilices ninguna forma del nombre de administrador proporcionado por defecto. Los atacantes escriben scripts que se ejecutan una y otra vez intentando entrar en el panel de administración, si utilizas algo parecido a “admin”, es mucho más probable que lo descifren». Jason Simmons, director general de Dead Soxy

2. Protege tus dispositivos.

Tanto si trabajas con un ordenador desde casa como si tienes una sede con un sistema informático completo en red, asegura la ciberseguridad de tus dispositivos conectados utilizando un software antivirus, un cortafuegos o cualquier otro método de protección adecuado contra las amenazas.

3. Blíndate contra los intentos de ingeniería social.

Una de las mejores formas de evitar las infecciones de malware es evitar caer en las trampas del phishing. Nunca proporciones ningún tipo de información personal a menos que hayas verificado la identidad del destinatario. Es más, ninguna organización legítima te pedirá jamás que compartas tu contraseña.

No hagas nunca clic en los enlaces de los correos electrónicos sospechosos, ya que pueden llevarte a alguna página web parecida a alguna página de inicio de sesión que te resulte familiar, pero que, en cambio, sirve para robar tu información. Además, no descargues nunca ningún archivo adjunto que no estuvieras esperando.

Hay algunas maneras de distinguir los intentos de phishing de los correos electrónicos legítimos. Esto es en lo que debes fijarte:

• Los errores ortográficos y gramaticales evidentes en el asunto o en el cuerpo de un correo electrónico pueden indicar un remitente sospechoso.

• Presta atención al dominio del remitente del correo electrónico. Suelen parecerse a un dominio conocido, pero con una sola letra de diferencia (por ejemplo, BigCommerce.com podría convertirse en BgCommerce.com).

• Lo mismo vale para cualquier URL en la que puedas hacer clic. A primera vista pueden parecer auténticos, pero la escritura podría estar mal por una letra, con la esperanza de que no te des cuenta y hagas clic de todos modos, para acabar accediendo a un dominio peligroso.

• Los correos electrónicos sospechosos podrían pedirte que hagas una transferencia de dinero, que autorices un cargo o cualquier cosa de ese estilo y ponerte una excusa para que lo tengas que hacer inmediatamente.

4. Implementa factores de autenticación adicionales.

Es verdad que puede resultar pesado, pero el uso de la verificación en dos pasos, de la autenticación de dos factores, o incluso de la multifactor, te aporta una mayor garantía de que tú y tus usuarios autorizados sois las únicas personas que inician sesión en la tienda. Teniendo en cuenta las posibles consecuencias de una violación de datos, merece la pena.

5. Guarda únicamente los datos de cliente que realmente necesites.

Cuando se trata de almacenar datos, lo fundamental es no guardar nunca más de lo que necesitas para llevar a cabo tu negocio de la mejor manera posible. Sin embargo, para determinar qué significa exactamente eso en tu caso, hay que tener en cuenta muchos factores.

Es importante establecer cuidadosamente la política de empresa para lograr un equilibrio entre la experiencia del cliente, la comodidad del negocio y la seguridad, sobre todo con el creciente número de normativas en materia de protección de datos.

«Se comenta tu red para mantener siempre los datos críticos de tus clientes separados de otra información. Utiliza cortafuegos y realiza auditorías para asegurarte de que todas tus medidas de seguridad funcionan como se supone que deben hacerlo».

Shane Barker, ShaneBarker.com

6. Mantén tu sitio web siempre actualizado.

La seguridad es el interminable juego del gato y el ratón. Los atacantes detectan vulnerabilidades, los ingenieros de software se encargan de corregirlas. Si utilizas una plataforma de comercio electrónico SaaS como BigCommerce, las actualizaciones de tu software se hacen automáticamente. Sin embargo, con las soluciones de comercio electrónico instaladas en local, debe ser tu empresa la que se haga responsable de aplicar cualquier actualización, corrección de errores o parches de vulnerabilidad al software que hace funcionar tu tienda.

«Con nuestra anterior plataforma de comercio electrónico, había continuas actualizaciones de seguridad que teníamos que instalar manualmente y que siempre acababan por dañar algo. Tuvimos que crear un entorno seguro secundario para comprobar las actualizaciones de seguridad antes de subirlas a nuestro sitio web real. Como puedes imaginar, no era la situación ideal».

Billy Thompson, presidente de Thompson Tee

7. Pásate a HTTPS.

El alojamiento seguro HTTPS requiere un certificado SSL y te ayudará a proteger tu página web. También es una ventaja para tu departamento de marketing, porque Google penaliza a los sitios web con HTTP en las posiciones de búsqueda orgánica. El HTTPS transmite una señal positiva de confianza a tus compradores, sobre todo a los que tienen conocimientos digitales.

8. Haz copias de seguridad de los datos.

Si se produce una violación y pierdes el acceso a tus datos, necesitarás una copia de seguridad que te ayude a volver a poner en marcha tu negocio lo antes posible.

9. Revisa regularmente todos los complementos y las integraciones de terceros.

Haz un inventario de todas las soluciones de terceros que tienes en tu tienda. Asegúrate de que sabes cuáles son y evalúa continuamente tu nivel de confianza en ese tercero. Si hay alguna integración que ya no utilices, elimínala de la tienda. La idea es conseguir que el menor número de actores tenga acceso a los datos de tus clientes sin dejar por ello de hacer avanzar tu negocio.

Dobla la seguridad durante la temporada navideña

La temporada navideña es, por desgracia, una época en la que cabe esperar un mayor volumen de intentos de fraude y ciberdelincuencia. Todo el mundo está muy ocupado y hay grandes picos de tráfico en los sitios de comercio electrónico, lo que hace que el comportamiento anómalo sea más difícil de detectar. Los atacantes lo saben y lo ven como una oportunidad.

Aquí tienes algunas cosas que puedes hacer para garantizar la seguridad de tu página web durante las fiestas:

1. Haz una comprobación de seguridad previa al inicio de la campaña navideña.

«La época navideña es el momento en el que se producen una buena mayoría de ataques cibernéticos a comercios electrónicos, aprovechando el tirón de las fiestas. Los minoristas deben prepararse para ello con antelación y realizar un control de seguridad exhaustivo antes de que comience la campaña. Esto debería incluir la comprobación de malware en los sistemas de puntos de venta y la mejora de la seguridad de los servidores web».

Shane Barker, ShaneBarker.com

Este control de seguridad debe incluir también un seguimiento de quién tiene acceso a qué:

«Revisa bien las cuentas y los privilegios a nivel de administrador de tu tienda, del software de marketing y de otras herramientas. Desactiva o elimina las cuentas no utilizadas. Actualiza los permisos para reflejar los flujos de trabajo reales de cada usuario».

Jordan Brannon, presidente de Coalition Technologies

2. Aumenta la protección contra el fraude.

Un incremento importante de compradores suele ir acompañado de un aumento de la actividad fraudulenta. De acuerdo con el estudio del 2019 sobre el fraude en el comercio minorista durante las Navidades realizado por TransUnion, al 46 % de los clientes les preocupa ser víctimas de un fraude cuando compran en estas fiestas.

«Otra forma de riesgo cibernético y uno de los mayores peligros para las empresas de comercio electrónico hoy en día es la estafa de devolución de cargos. Los atacantes se hacen con la información de la tarjeta de crédito junto con las credenciales y se dedican a gastar. El minorista recibe un pedido y, sin pensarlo dos veces, lo envía. Sin embargo, en algún momento futuro se recibe una devolución del cargo porque se detecta como fraudulento. El minorista no puede hacer nada al respecto y se ve obligado a reembolsar el pedido, a pesar de que hace tiempo que ya no tiene la mercancía. Esto se complica aún más con los programas de fidelización y las tarjetas regalo.

«Este tipo de fraude cibernético es muy difícil de prevenir. Tras perder miles de euros en productos, empezamos a utilizar la aplicación Eye4fraud.com para BigCommerce. La aplicación nos informa en tiempo real de si los pedidos deben o no enviarse y ofrece una garantía para cualquier devolución de pagos».

Jason Simmons, director general de Dead Soxy

3. Prepara a tu equipo de atención al cliente.

Asegúrate de que tanto tú como tu equipo estáis preparados para las amenazas más comunes, lo que incluye contar con un proceso claro de verificación de la identidad de los clientes que solicitan cualquier cambio en sus pedidos o cuentas.

4. Prepara un plan de actualización de la seguridad.

Un buen consejo es blindar la tienda durante las fiestas y no cambiar demasiadas cosas para evitar el riesgo adicional que eso puede suponer. Sin embargo, esa norma general no es válida cuando se trata de la seguridad y de corregir cualquier vulnerabilidad de tu sitio. Esto es aplicable sobre todo si tienes una solución de comercio electrónico instalada en local (por suerte, los comercios de BigCommerce pueden respirar tranquilos). Necesitas tener un plan contrastado para las actualizaciones del sitio en caso de que sean necesarias para garantizar la seguridad de tu negocio y de tus compradores.

Cómo te ayuda BigCommerce a proteger tu negocio

Todos y cada uno de los componentes de la plataforma de BigCommerce se han creado pensando en la seguridad. Nuestra plataforma de comercio electrónico SaaS multiinquilino ayuda a reducir el coste total de propiedad. Tu organización no debe hacerse cargo del mantenimiento de los servidores, de la instalación de actualizaciones ni de la aplicación de parches cuando se descubren vulnerabilidades de seguridad.

1. Los beneficios del SaaS.

Las mejores aplicaciones de SaaS, como las que utiliza BigCommerce, ofrecen capas de seguridad robusta, así como una estricta prevención del fraude, estándares de seguridad de la información y marcos de cumplimiento normativo. Es el proveedor de SaaS el que se encarga de las actualizaciones y los parches de seguridad, liberando a los usuarios de esa parte del trabajo.

Con el cambio a Google Cloud Platform, las ventajas de seguridad de BigCommerce no han hecho más que aumentar, proporcionando a los comercios medidas de seguridad adicionales, incluida la mejor protección de su categoría contra los ataques DDoS.

Asimismo, BigCommerce se encarga del cumplimiento de las Normas de la PCI en nombre de los comercios y cuenta con la certificación ISO 27001 de la norma internacional que recoge las mejores prácticas para los sistemas de gestión de la seguridad de la información.

«Los requisitos, la complejidad y el coste de la PCI aumentan constantemente. Para mitigarlo, es necesario un cambio hacia el SaaS».

Jason Greenwood, director de soluciones y entregas de Moustache Republic

2. Seguridad y privacidad integradas en el diseño.

BigCommerce se toma muy en serio la seguridad y la privacidad, incorporándolas a la forma en que creamos nuestros productos y nos relacionamos con los clientes. Vamos siempre un paso por delante y establecemos límites en torno a la forma en que interactuamos con los datos de los comercios.

Los datos y los clientes de nuestros comerciantes les pertenecen a ellos y únicamente a ellos. Para mantener la información de pago de tus clientes lo más segura posible, los datos de pago confidenciales se encriptan en tránsito y no llegan a estar en reposo en la infraestructura de BigCommerce.

Conclusión

Desarrollar una buena seguridad en el comercio electrónico es de vital importancia para el éxito de tu negocio. No puedes permitirte perder la confianza de tus clientes poniendo en riesgo sus datos personales. Al utilizar una plataforma SaaS como BigCommerce, puedes dedicar más tiempo a hacer crecer tu negocio y menos tiempo a preocuparte por la supervisión y el mantenimiento de la seguridad.

Esto no significa que no tengas que hacer nada. Practicar una buena higiene de contraseñas, ser cuidadoso al hacer clic en enlaces o al descargar archivos adjuntos de tu correo electrónico y revisar regularmente tus integraciones con terceros es especialmente importante, incluso para los comercios de nuestra plataforma segura de SaaS.

Si sigues los consejos de esta publicación y te mantienes al tanto de lo que ocurre en materia de ciberseguridad, podrás ofrecer a tus clientes una experiencia de compra en la que puedan confiar.

Descubre más sobre la seguridad en el SaaS en este análisis técnico detallado.

Este material no constituye un asesoramiento legal, fiscal, profesional o financiero y BigCommerce rechaza cualquier responsabilidad respecto a este. Consulta a tu abogado o asesor profesional sobre cuestiones legales, profesionales o financieras específicas.