Seguridad online: Qué es y cómo proteger tu tienda
Sabemos que la seguridad es importante para todo y en todos los sentidos, pero aquí venimos a hablar de eCommerce y hemos echado en falta ayudar a las tiendas en la seguridad online que cada vez se hace más necesaria.
Igual que la tecnología mejora para nuestro beneficio, puede volverse en nuestra contra: las amenazas a la seguridad online se vuelven cada vez más sofisticadas. Y como, siempre, queremos ayudarte.
Así hoy (como casi siempre) habla una parte de Aplazame, y experto en la materia, se trata de nuestro CISO (Chief Information Security Officer), Fernando Sánchez Manzano que, con 19 años de experiencia en seguridad, te va a dar las claves para cuidar la seguridad online de tu tienda. ¿Porque, quién no quiere tener una tienda online segura?
¡Empezamos!
¿Qué es esto de la Seguridad online?
La seguridad online, seguridad informática o ciberseguridad, son algunos de los nombres que se le da al conjunto de técnicas, herramientas y procedimientos que permiten proteger los sistemas, las comunicaciones y la información manejadas en el universo tecnológico.
El uso de Internet facilita de manera considerable la vida en los ámbitos profesional y personal; siendo, no sólo una fuente de consulta masiva de información donde encontrar respuesta a nuestras inquietudes, sino también como un medio de comunicación, distribución de conocimiento, como extensión de muchas tiendas o para crear un comercio exclusivamente online.
No obstante, Internet también implica riesgos y la mejor manera de evitarlos es conocer algunas pautas básicas de seguridad que puedes encontrar más adelante en este post.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores. Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.
Por ejemplo, un ataque dirigido a las personas cada vez más frecuente consiste en el empleo de correos electrónicos fraudulentos (phishing), enviados por los ciberdelincuentes (hackers), con el fin de obtener información confidencial o relevante para poder conseguir número de cuentas bancarias, datos de acceso a nuestras aplicaciones o cuentas personales y poder suplantar nuestra identidad o robarnos dinero.
Por esto, el empleado es el gran protagonista de la seguridad en las empresas. La tecnología es importante, pero no siempre es suficiente para proteger nuestros sistemas de información. La implicación y participación de todos los empleados, incluidos los de más nivel en la jerarquía de la empresa, es esencial para llevar una gestión adecuada de la ciberseguridad en la empresa. Por este motivo concienciar y formar a los miembros de la organización, se convierte en una pieza clave del puzzle de la ciberseguridad en la empresa.
En otras ocasiones, los ataques se centran en aprovechar los huecos de seguridad de nuestros sistemas. En este tipo de amenazas el ciberdelincuente busca explotar vulnerabilidades relacionadas con el software que da soporte a la tienda virtual como es el gestor de contenidos (CMS) o el servidor web donde está alojada la tienda entre otros. Este tipo de vulnerabilidades se debe normalmente a malas configuraciones o falta de actualizaciones por parte del software que conforma la tienda virtual.
Otro tipo de riesgo existente para un comercio electrónico no tiene por qué venir precedido de un hueco de seguridad; simplemente se puede basar en un mal dimensionamiento de las capacidades de los sistemas que dan soporte al eCommerce e inutilizarlos. Dentro de este supuesto se encuentran los ataques que puede provocar una avalancha de peticiones a nuestro comercio electrónico que sature las comunicaciones y capacidad de procesado de los sistemas, consiguiendo tirar abajo nuestro negocio, lo que supondría para ese comercio electrónico una pérdida considerable de ingresos.
Es por ello, que debemos proteger nuestras bases de datos, comunicaciones y aplicaciones frente a estos ataques. Esto conlleva una inversión en herramientas para protegernos, o solicitar a nuestro proveedores de página web, pasarela de pago, hosting o comunicaciones, cumplir con unos mínimos estándares de seguridad.
Otro aspecto importante de la ciberseguridad dentro del sector del comercio electrónico es la protección de los datos personales y financieros de sus clientes.
Para este fin se han desarrollado una serie de normativas y estándares de seguridad online (las más importantes a destacar son PCI-DSS para protección de datos de tarjetas bancarias, 3DS/3DS2 para protección de pagos, LOPDGDD/GDPR para proteger la seguridad de los datos personales) y el cumplimiento con dichas normas o regulaciones es importante también de cara a evitar sanciones que puedan impactar en las cuentas de resultados de nuestro eCommerce, además de asegurar unas medidas de protección para nuestros clientes y nuestro negocio.
En 2018 entró en vigor en España la normativa SCA (Autenticación Reforzada de Cliente) en forma de regulación europea (PSD2), afectando a todos los eCommerce de la UE y obligando a una doble autenticación. Es importante saber que los comercios deberán asegurarse de que su banco adquirente o la compañía que proporciona los servicios de pagos electrónicos activen la tecnología que se adapte a la regulación. De lo contrario, corren el riesgo de que las transacciones sean rechazadas.
Por ejemplo, hasta la implementación de SCA, para realizar una compra con tu tarjeta por Internet solo era necesario introducir un SMS OTP (o contraseña enviada por SMS). A partir del 1 de enero de 2021, un único factor ya no será suficiente y se deberá comprobar la autenticidad del cliente usando al menos 2 de los siguientes 3 factores que mejoran la seguridad online de las tiendas:
- Conocimiento: Algo que solo sabe el cliente, es decir, una contraseña personal e intransferible o un pin.
- Posesión: Algo que el cliente tiene. Como, por ejemplo, su teléfono móvil al cual enviar un SMS o una notificación en la app bancaria.
- Inherencia (biometría): Algo que es inherente a la persona, como su huella dactilar.
En definitiva, las Tecnologías de la Información y las Comunicaciones (TIC) nos llevan a un mundo digital con infinitas posibilidades, pero también implica la complejidad para proteger las redes, los servicios y las aplicaciones cada vez es mayor. Las bases de datos, los dispositivos móviles, los buscadores, las redes sociales y los portales de comercio electrónico son especialmente sensibles a los temas de seguridad online o ciberseguridad.
8 consejos para eCommerce que quieran cuidar su seguridad online
Una tienda virtual está formada por varios elementos, tanto software como hardware, que trabajando en conjunto hacen que la tienda cumpla sus funciones como mecanismo de comercio.
Podemos considerar que un eCommerce es seguro si ambas partes (software y hardware) son seguras. En esta guía del Instituto Nacional de Ciberseguridad (INCIBE) se puede encontrar una explicación detallada de los principales riesgos para un comercio electrónico y de las configuraciones de seguridad necesarias para proteger nuestro negocio:
En este post hacemos una extracción de aquellas más importantes y os invitamos a contactar con vuestro personal o proveedor de mantenimiento y soporte de la web, para confirmar que las técnicas se encuentran convenientemente configuradas para garantizar la seguridad online de vuestra página.
Protocolo HTTPS
Una de las primeras comprobaciones que debemos realizar en nuestra tienda respecto a la seguridad online es verificar que las transacciones de nuestro negocio se realizan a través de redes cifradas, con el objeto de evitar que un ciberdelincuente intercepte las transacciones de manera que pueda acceder a la información que en ellas va contenida.
El primer protocolo que deberemos comprobar es el utilizado por nuestra página web a la hora de acceder a nuestra tienda online:
Se trata de un protocolo muy reconocible que incrementa el nivel de seguridad online de las páginas web destinadas a realizar pagos online.
Últimamente, este uso se ha extendido, de tal forma que son cada vez más las webs que cuentan con HTTPS, tanto en el propio sitio como en las plataformas de pago de las que puedan hacer uso.
También se pueden utilizar otro tipo de protocolos encaminados a proteger y asegurar las transacciones en línea y que te recomendamos que comentes con tu proveedor de servicios de alojamiento web:
- Los certificados SSL: encaminados a garantizar la autentificación, confidencialidad e integridad de los datos transmitidos a través de Internet por medio del protocolo TLS (Transport Layer Security). Para conseguirlo, el navegador cifrará esos datos.
- El protocolo SET (Secure Electronic Transaction): se trata de un conjunto de especificaciones orientadas a asegurar la confidencialidad e integridad de la información que se transmite cuando se realiza un pago, aunque requiere de la instalación de un software, tanto por parte del vendedor como del comprador. El principal objetivo es conseguir una transferencia segura de números de tarjetas, mediante la autenticación de todos los participantes en dicha transacción, con independencia del tipo de red utilizada al realizar la conexión.
Utiliza pasarelas de pago seguras
Si tu negocio cuenta con una pasarela de pago proporcionada por una entidad bancaria, ponte en contacto con dicha entidad para comprobar que tiene un certificado SSL de validación extendida, con el fin de que el cliente pueda identificar la entidad bancaria a la que pertenece, y tener la seguridad de que sus datos viajan cifrados.
Una de las ventajas de utilizar una pasarela de pago proporcionada por un banco, es que la tienda no tiene acceso a los datos bancarios del cliente, por lo que no deberá tomar medidas adicionales para su protección.
Por supuesto, antes de poner la pasarela de pago en producción, será necesario realizar pruebas para comprobar qué funciona correctamente y corregir posibles errores. Además, también es imprescindible incluir medidas de seguridad online antifraude:
- Que solicite el CVV (Card Verification Value) para poder realizar el pago. El proceso de pago es el más sensible dentro de cualquier operación de comercio electrónico. Por este motivo, es muy recomendable requerir el código CVV de las tarjetas cuando se utilice este tipo de medio de pago. De esta forma, un ciberdelincuente que solo posea el número de tarjeta no podrá utilizarla de forma fraudulenta y mejoramos la seguridad online.
- Es recomendable utilizar un sistema de verificación de direcciones (AVS). Este mecanismo verifica si la dirección de facturación del cliente coincide con la dirección archivada en el banco emisor de la tarjeta de crédito. Si no coinciden, es una señal de alarma de que la tarjeta podría estar comprometida.
- 3DSecure: se trata de un sistema promovido por Visa y MasterCard y Ciberseguridad en comercio electrónico, que verifica que el cliente que está realizando la compra es el verdadero titular de la tarjeta, solicitando un número de PIN que solo él debe conocer. Al implementar el sistema 3DSecure en la pasarela de pago, el propietario del eCommerce ya no es el responsable de las devoluciones a causa de las reclamaciones de fraude por parte de los propietarios de la tarjeta, ya que se transfiere la responsabilidad de las reclamaciones por fraude a la entidad emisora de la tarjeta.
Para garantizar la seguridad online: configura de forma correcta el Gestor de Contenido (CMS)
La gran mayoría de tiendas virtuales están creadas utilizando un CMS eCommerce y como todo software, los CMS pueden tener vulnerabilidades que pueden ser aprovechadas por los cibercriminales. Os recomendamos que verifiquéis con vuestro proveedor de CMS las configuraciones que aquí se recogen para cuidar vuestra seguridad online.
Una gran cantidad de estas vulnerabilidades de la seguridad online se deben a malas configuraciones del CMS, pero siguiendo estos pasos se conseguirá un CMS seguro.
- Contraseña de la base de datos: los CMS requieren para su funcionamiento una base de datos donde se almacenan los artículos, categorías, usuarios y contraseñas, etc. Para acceder a la base de datos es necesario identificarse con un usuario y contraseña. Es de gran importancia que la contraseña que da acceso a la base de datos sea robusta. Para conseguir una contraseña robusta hay que cumplir estas condiciones:
- Longitud igual o superior a ocho caracteres.
- Incluir, al menos, tres de estos cuatro grupos de caracteres: mayúsculas, minúsculas, números y símbolo especiales (¡, $, %, &, ?, #)
- Debe de ser diferente y no contener el nombre de usuario.
- No debe de estar basada en diccionario.
- Prefijo de las tablas de la base de datos: es de dominio público y ampliamente conocidos los nombres por defecto que cada CMS aplica a cada tabla por lo que es especialmente importante añadir un prefijo a cada tabla. Es recomendable que el prefijo tenga una longitud de cinco caracteres alfanuméricos como mínimo si queremos cuidar la seguridad online. La gran mayoría de CMS generan prefijos en las tablas de forma automática pero es recomendable cambiar este prefijo por defecto por uno nuevo con las características anteriores.
- Actualización del CMS: la mayoría de las tiendas están creadas con gestores de contenido orientados a la venta online. Casi todas las vulnerabilidades descubiertas de los CMS se solucionan realizando una actualización del software, es por ello que mantener el CMS actualizado es fundamental para evitar posibles fallos de seguridad online.
En los CMS es muy común usar complementos o plugins que dotarán a la tienda de nuevas funcionalidades. Es importante utilizar plugins con una gran cantidad de usuarios ya que así se garantiza una continuidad de desarrollo y mantenimiento. También como en el caso de los CMS es importante mantener actualizados los plugins ya que si están desactualizados estos pueden contener vulnerabilidades que comprometan la tienda.
- Usuario y contraseña de la zona de administración (back-end): es recomendable que el nombre de usuario no haga ninguna referencia al nombre de la tienda o que tenga alguna relación con la palabra administrador. En el caso de la contraseña es importante que sea robusta, siguiendo los consejos dados en el apartado anterior “Contraseña de la base de datos”.
- Borrado del directorio de instalación: los CMS cuentan con una serie de archivos cuya única finalidad es la de la instalación de la aplicación. Una práctica recomendable es borrar el directorio y todos los archivos de instalación del CMS ya que han terminado su función y puede ser una vulnerabilidad que no se eliminen del directorio donde está la tienda virtual. Cabe destacar que algunos CMS no dejan terminar la instalación si el directorio donde se encuentran todos los archivos de instalación no es borrado.
Clave para la seguridad online: no almacenar datos sensibles
No hay necesidad de almacenar datos sensibles como números de tarjetas de crédito, la fecha de expiración o el código CVV. Solo puedes guardar datos que son necesarios para devoluciones y reembolsos. Es una mala práctica almacenar todos los datos sensibles porque da la oportunidad para los hackers de robar información y usarla con fines lucrativos.
En realidad, almacenar datos de las tarjetas de crédito o débito está prohibido por la norma PCI-DSS. Por eso, uno de los consejos para mejorar la seguridad de tu eCommerce es eliminar los registros antiguos de la base de datos y mantener una cantidad mínima de información.
Realiza diariamente copias de seguridad de tu tienda online
Conviene realizar diariamente una copia de los datos originales, con el objetivo de disponer de un sistema de respaldo en caso de pérdida, deterioro o robo de información, que permita recuperar datos y volver a funcionar a pleno rendimiento en un plazo corto de tiempo.
A la hora de poner en marcha un sistema de copias de seguridad en el que apoyar la seguridad online de una tienda es necesario analizar la información de la empresa, con el fin de descartar aquella que carece de relevancia, incluir todos los equipos de la organización, definir el número de versiones que se almacenarán de cada elemento y el tiempo que se conservarán, el tamaño de la empresa y el volumen de información que maneje.
Además, es importante realizar pruebas de restauración, con el fin de comprobar que las copias realizadas no son inaccesibles; controlar los soportes en los que se realizan las copias a través de un correcto etiquetado y registro de su ubicación, valorar la posibilidad de cifrar las copias, en el caso que contengan información confidencial etc.
Las medidas de protección a aplicar sobre esta copia de seguridad deben ser las mismas que sobre la información de los sistemas principales del eCommerce; es decir, cifrar el disco duro o dispositivo sobre el que se realicen las copias, establecer una contraseña de acceso al disco duro mediante la instalación de una herramienta de control de acceso al disco duro, como por ejemplo Veracrypt.
Utilizar captcha
Utilizar sistemas de captcha en los formularios en los que los clientes tengan que introducir datos, con el fin de diferenciar personas de máquinas y que éstas no puedan crear contenidos o cuentas de usuario de manera automática.
Mantén tu software actualizado
Debes asegurarte que tu software esté actualizado para evitar ser lo menos vulnerable posible. Si no estamos al día nos exponemos más de la cuenta a posibles robos de datos.
De manera adicional, es recomendable instalar cortafuegos (firewall) para evitar sitios sospechosos donde puedan acceder tus equipos informáticos, instalar software antimalware y huir de aplicaciones de fuentes que no sean de confianza.
Un cortafuegos o firewall es un sistema de software o hardware que sirve como compuerta entre dos o más redes, de modo que permite la entrada al tráfico autorizado y bloquea el acceso al que parece sospechoso.
Existen muchos tipos de cortafuegos, pero uno de los más efectivos para eCommerce son los proxys, que funcionan como programas intermediarios entre las redes, por lo que el tráfico entrante (proxy inverso) no se conecta directamente a la red de nuestra tienda online.
No obstante, para que un cortafuegos funcione como es debido, es importante que esté bien configurado: por sí mismos, estos sistemas no saben qué tráfico es perjudicial, así que lo debe programar un especialista en la materia.
Verifica con tu proveedor de hosting que la infraestructura que almacena y publica tu página web, tiene este tipo de dispositivos.
Seguridad online: el punto final para garantizarla en tu eCommerce
Es importante no sólo securizar nuestro comercio online, sino también transmitir la confianza a nuestros clientes de que se encuentran comprando en un lugar seguro. Por ello, os dejamos como punto final de este post, unas recomendaciones sobre seguridad online que nos permitan conseguir este cometido:
- Ofrece información clara sobre los productos que ofertas, así como de las condiciones de compra, pago y devolución habilitadas en tu comercio online.
- Asegúrate de contar con un servidor seguro para alojar tu página web. Aplica políticas de seguridad encaminadas a fomentar la confianza de los clientes y a preservar la privacidad, integridad y confidencialidad de la información alojada o que se transmita.
- Solicita únicamente los datos que consideres necesarios.
- Haz que tu política de privacidad sea clara y visible para todos tus clientes.
- No olvides mostrar información de tu empresa, contacto y teléfono y ofrecer varias modalidades de pago de cara a generar confianza en los clientes.
Los hábitos de compra de la población están evolucionando hacia las diferentes modalidades de eCommerce. Si quieres generar confianza y aumentar tu cartera de clientes, verifica que se aplican las medidas necesarias para garantizar la seguridad de los datos que se transmitan y evitar cualquier intento de fraude. ¡Seguro que ya no tienes excusas para no cuidar la seguridad online de tu tienda!