SEGURIDAD EN COMERCIO ELECTRÓNICO

Cuando se hacen transacciones por medio de internet, las partes involucradas se pueden enfrentar a los
siguientes problemas:

Amenazas a la seguridad en el Comercio Electrónico

Falta de contacto físico con el producto: Las transacciones que se realizan a través de Internet son de carácter
no presencial, lo que genera un cierto grado de incertidumbre. A su vez se omite tanto la atención personal
como el contacto físico con el artículo, factores que pueden influir de forma determinante en la elección de un
producto u otro.
En el caso del comercio electrónico, a fin de eliminar dicha desventaja se está produciendo la incorporación de
chats en directo o asistentes virtuales que ayudan a resolver dudas durante el proceso de compra.
Falta de seguridad y fiabilidad: Es un punto clave a la hora de decidir la compra a través de Internet que la
empresa esté bien identificada y sobre todo que ofrezca la posibilidad de contactar directamente con ella.
También es vital que disponga de información clara, completa y concisa tanto sobre temas contractuales como
sobre el producto/servicio y el precio, clarificando los gastos que van o no incluidos en la transacción.
Problemas de distribución: Las incidencias logísticas (retrasos en la recepción, recepción del pedido con
desperfectos, no recibir el producto) son otro de los principales inconvenientes del comercio electrónico.
Problema de reclamaciones y devoluciones: La principal problemática en las compras a través de la Red es
que el producto o servicio adquirido no responda a lo que se ofrecía en Internet. La inseguridad de a quién
dirigirse en caso de reclamación es otro de los problemas que conlleva el comercio electrónico.
Problemas de pago: En la mayoría de los casos, las compras a través de Internet se realizan utilizando el
número de la tarjeta de crédito del comprador, pero aún no es 100% seguro introducirlo en la Red sin
conocimiento alguno.
Pérdida de integridad de los datos: un intruso crea, modifica o borra información.
Pérdida de privacidad en los datos: se brinda acceso a la información a personas no autorizadas.
Pérdida de servicio: el servicio se interrumpe como consecuencia de las acciones de un hacker.
Pérdida de control: personas o usuarios externos sin ningún control.

Además de los inconvenientes mencionados anteriormente, cuando se hacen transacciones comerciales por
medio de internet, las partes involucradas pueden estar expuestas a los siguientes ataques:

Phishing Spoofing Pharming

1
Protocolos de seguridad aplicables a Comercio Electrónico
Los protocolos de seguridad en ecommerce no son cosa de broma. Según un estudio de Symantec en Estados
Unidos, los consumidores tuvieron pérdidas de 19,4 mil millones de dólares por los ataques cibernéticos
producidos en 2017.

Subestimar la importancia de la ciberseguridad tiene un precio muy, muy caro. Un buen ejemplo lo
encontramos en la empresa TalkTalk. En 2015 se vio obligada a invertir 50 millones de libras en la recuperación
de sus sistemas tras sufrir un ciberataque. Pero el dinero fue lo de menos: hasta 100 mil clientes dejaron de
utilizar sus servicios. ¿No hubiera sido más sencillo protegerse frente a ciberataques?

Pero ¿cuáles son los protocolos de seguridad en ecommerce más utilizados? La instalación de certificados SSL
y SET o la obtención del protocolo HTTPS destacan entre las medidas más utilizadas. ¿Quieres conocerlas en
profundidad?

¿CUÁLES SON LOS PROTOCOLOS DE SEGURIDAD EN ECOMMERCE MÁS IMPORTANTES?

La seguridad y encriptación en ecommerce es una necesidad creciente entre las empresas y marketplaces. Un
informe de Check Point aseguró que la ciberdelincuencia se mantendrá constante en 2019, pero que sus ataques
serán más sofisticados e inteligentes.

El cifrado es uno de los métodos más efectivos de mejorar la ciberseguridad. Con la primera opción, se logra
proteger la información sensible de los clientes (nombres de usuarios, contraseñas, datos bancarios, etc.) a
través del cifrado. Este proceso no es fácil de explicar, pero puede resumirse en el uso de un código único, que
permite que el destinatario y el receptor descifren los datos necesarios en la transacción. De esta forma, el robo
de dichos datos no tiene sentido para los ciberdelincuentes, quienes no serán capaz de descifrarlos.

Otro recurso excelente para optimizar la seguridad en ecommerce son los certificados de seguridad. Hablamos
de una identificación digital, capaz de verificar la identidad de los usuarios, así como su “humanidad” (gran
parte de los ciberataques son perpetrados por bots). Los certificados SSL y SET son los más utilizados y merece
la pena estudiarlos en profundidad.

SSL: UNA PROTECCIÓN INFALIBLE EN LA TRANSFERENCIA DE DATOS ONLINE

2
Conocido a su vez como Secure Sockets Layer, este certificado de seguridad se ha convertido en uno de los
must de internet. Es utilizado tanto por grandes empresas como por bloggers minoritarios. Su finalidad es
proteger sus transacciones de datos entre un sitio web (proveedor) y sus visitantes (destinatarios).

Identificar los sitios con certificado SSL es fácil: en el navegador aparece un candado en verde, que indica a
los usuarios que todos sus datos están seguros. Sin embargo, la creación de una conexión SSL segura requiere
que el servidor hosting disponga de un certificado SSL previamente instalado. Por fortuna para los interesados,
estos certificados tiene un coste muy reducido. Determinados proveedores de hosting ofrecen incluso la
instalación gratis de Let’s Encrypt y otros softwares de SSL.

SET: UN PLUS DE SEGURIDAD PARA TUS TRANSACCIONES MONETARIAS

Y si te preguntas qué protocolo seguro de pago electrónico en e-commerce debes implementar, el SET es una
excelente respuesta. Las siglas de este protocolo se corresponden con Secure Electronic Transaction. Como su
nombre indica, es un sistema para garantizar la seguridad de las transacciones monetarias en entornos digitales.

El funcionamiento del SET es simple. En líneas generales, este protocolo proporciona una serie de certificados
y firmas digitales entre el consumidor, la empresa y la entidad bancaria, que regulan la transacción monetaria
desde su inicio hasta su finalización. Considerando que fue creado por Visa y MasterCard en colaboración con
gigantes como Microsoft, IBM o Netscape, la eficacia del protocolo SET no debería sorprendernos.

TLS: EL HERMANO MAYOR DEL CERTIFICADO SSL

El certificado TLS o Transport Layer Security es una evolución del citado SSL. Su objetivo es proporcionar
conexiones seguras a través del cifrado de los datos enviados entre dos partes. Este certificado se utiliza
principalmente en entornos de correo electrónico, no siendo incompatible con su predecesor (de hecho, pueden
compatibilizarse).

Netscape creó el protocolo SSL, y posteriormente el IETF (Internet Engineering Task Force) desarrolló el TLS.
Como habrás notado, ambos certificados trabajan de forma similar, pero no son iguales: los algoritmos del
certificado TSL son más sólidos y versátiles que los de su predecesor.

HTTPS: AÑADIENDO UNA CAPA DE SEGURIDAD AL CLÁSICO HTTP

Cuando hablamos de HTTPS nos referimos al Hypertext Transfer Protocol Secure. Este protocolo es una
evolución del HTTP, que incorpora una capa extra de seguridad a los datos que son enviados en conexiones
SSL o TLS. En la actualidad la mayoría de los emprendimientos digitales se realizan con protocolos HTTPS,
en lugar de los HTTP, creados por Eric Rescorla y Allan M. Schiffman en 1999, que van camino de
desaparecer.

Debido al creciente número de ciberataques, el uso del protocolo HTTPS se ha generalizado desde 2018. Esto
se debe a que el anterior HTTP tenía mayores puntos débiles y no era tan seguro. Los especialistas recomiendan
el uso de HTTPS, pero en algunos casos puede necesitar el protocolo S-HTTP.

3
Cualquiera de estos protocolos de seguridad en ecommerce es una apuesta segura para blindar tu negocio frente
al phishing, los malwares, los fraudes online y otros ciberataques. Su objetivo no es evitar pérdidas monetarias
derivadas de un ataque: es evitar la pérdida de la confianza de los clientes.

Y es que la confianza del cliente lo es todo para un ecommerce.

Certificados Digitales y Firma Digital.

Aunque las firmas digitales y los certificados digitales se diferencian en su funcionalidad, sirven al propósito
de una comunicación segura a través de las redes informáticas. Juntos, atienden a las cuatro funciones de
seguridad principales de la tecnología de la información y las comunicaciones: Confidencialidad -- mantener
privada la información que se envía por Internet; -- integridad -- garantizar que el mensaje transmitido no
sea modificado maliciosamente; -- autenticación -- verificación de la identidad del remitente; y no rechazo --
asegurar que la gente no puede refutar la validez de los datos generados.

Firma digital

Es el objetivo de las firmas digitales verificar la integridad del mensaje transmitido mediante la comprobación
de la identidad del remitente. Garantizan la confidencialidad de la información transmitida mediante el empleo
de un algoritmo para codificar el mensaje transmitido a través de redes informáticas. La firma digital se agrega
al mensaje usando una "clave privada". El mensaje se transmite luego al receptor en una versión distorsionada,
y el destinatario puede descifrar el mensaje recibido mediante el uso de una "clave pública" correspondiente
que verifica la integridad de los mensajes recibidos y la identidad del remitente.
Infraestructura de clave pública

La Public Key Infrastructure (PKI) -- Infraestructura de la Clave Pública -- utiliza criptografía básica para
codificar un mensaje en tránsito, mientras permite que el receptor pueda descifrarlo. La PKI es el sistema que
permite el intercambio de claves privadas y públicas y autentificar las firmas digitales. El cifrado de clave
pública involucra un par de claves asimétricas que constan de una clave privada y una clave pública. La clave
pública se distribuye a todos los destinatarios, mientras que la clave privada se mantiene como tal. La
Información que está cifrada con la clave privada puede descifrarse únicamente con la clave pública. Por otra
parte, la información encriptada con la clave pública necesita descifrarse con la clave privada.
Certificado digital

Los certificados digitales son emitidos y firmados por una autoridad certificadora autorizada, como VeriSign.
Los certificados digitales son documentos digitales que verifican que tanto la "clave privada" como la "clave
pública" utilizadas para autentificar al remitente y verificar la integridad de un mensaje transmitido son
genuinas y aprobadas por una autoridad certificadora. El papel del certificado digital es salvaguardar la
seguridad y fiabilidad de las firmas digitales, ya que sin un certificado digital, una firma digital puede
falsificarse fácilmente. Un certificado digital es como la prueba de identidad de un individuo o empresa.
Autoridad de certificación

4
Una autoridad de certificación suministra a las empresas certificados digitales aprobados y autentifica todos
los certificados digitales que se utilizan para validar al remitente de un mensaje. La autoridad de certificación
también maneja todas las claves públicas utilizadas a lo largo de todo su ciclo de vida y garantiza la identidad
de los individuos y organizaciones.

Mecanismo de Seguridad en sitio Web de Comercio Electrónico

Imagínese que fuese el encargado de una tienda ubicada en un centro comercial.

¿Con qué medidas de seguridad básicas contaría?

Probablemente dispondría de puertas con cerrojos, cámaras de circuito cerrado, sistemas de alarma, etc.
Se trata, en su mayoría, de dispositivos de seguridad visibles cuyo funcionamiento es conocido por todos.

Pero... ¿qué sucede cuando, en lugar de una tienda física, su responsabilidad consiste en gestionar un negocio
de venta online? En este caso, ya no tiene que enfrentarse a la amenaza de los ladrones tradicionales, sino a la
de hackers –probablemente experimentados – que cuentan con ventaja por su conocimiento de las debilidades
de las tiendas electrónicas y que buscan constantemente vulnerabilidades que aprovechar.

Sin embargo, estos distan mucho del típico ladronzuelo cuyo objetivo es llevarse unos pocos artículos para
venderlos en el mercado negro local.

Los hackers persiguen un activo mucho más valioso: los datos, y ya se trate de las tarjetas de crédito o los
documentos de identidad de sus clientes, su tienda de comercio electrónico y su negocio se encontrarán en
peligro a menos que adopte las acciones necesarias para protegerlos.

Esta es precisamente la razón por la que hemos elaborado unos sencillos consejos que le ayudarán a proteger
su sitio de comercio electrónico y su negocio.
Elija un proveedor de hosting especializado en comercio electrónico

Probablemente, habrá realizado una importante inversión en su página web. Diseñar, desarrollar, optimizar y
promocionar un sitio de este tipo supone un coste económico importante, y debe preguntarse hasta qué punto
es conveniente arriesgar toda esta inversión optando por un servicio de alojamiento web de bajo coste.
Aunque lo cierto es que actualmente la oferta de servicios de hosting es enorme, es necesario huir de la
tentación de contratar planes de alojamiento extremadamente baratos, ya que, con frecuencia, lo que ofrecen
en realidad es un falso ahorro.
Hacerlo sería como construir un coche de carreras y equiparlo con ruedas de bicicleta.

Si aloja su sitio en un servicio de hosting compartido con cientos de miles de usuarios, es probable que acabe
teniendo la sensación de estar en un "vecindario ruidoso", y a nadie le gusta vivir en un sitio así. Se trata de
entornos rudos y antisociales que tienden a degradar el estatus de sus "habitantes".

Si su tienda se aloja en uno de estos servidores tipo "buffet libre", ¿qué garantías tiene de que el proveedor está
invirtiendo en seguridad? Realmente pocas, y además existe una alta probabilidad de que la dirección IP de su
servidor se incluya constantemente en listas negras.

5
Por tanto, la mejor opción para los minoristas de comercio electrónico serios y sensatos es probablemente
contar con un servidor privado virtual, que combina un rendimiento excelente y ampliable con un coste
razonable y magníficas opciones de personalización de la seguridad.

Aunque configurar la seguridad de su servidor es una tarea bastante sencilla, si no puede asumirla usted mismo,
siempre puede recurrir a un proveedor de hosting de renombre y optar por un servicio de servidor gestionado.
Migre a HTTPS

Hasta hace muy poco, utilizar un alojamiento seguro HTTPS junto con un certificado SSL era, por lo general,
una combinación reservada para el área de pago de los sitios. Aunque, naturalmente, este sigue siendo el caso
de muchas páginas, es cada vez más frecuente que sus propietarios pasen a proteger la totalidad de sus sitios
web..

Un hecho determinante para el comienzo de esta tendencia fue que Google declarase en 2014 su intención de
redoblar sus esfuerzos en materia de seguridad e incluir el HTTPS como factor de posicionamiento. Otro
acontecimiento que contribuyó a esta migración fue la noticia de que los navegadores iban a comenzar a
penalizar a los sitios basados en el protocolo HTTP. De hecho, Google anunció recientemente sus planes a
largo plazo de marcar todos los sitios HTTP como "no seguros", y Mozilla manifestó una posición similar allá
por 2015.

Si desea migrar su sitio al protocolo HTTPS, deberá elegir en primer lugar un certificado SSL. Puede adquirir
dicho certificado a través de su empresa de hosting o acudir a un proveedor SSL de renombre.

Aunque lo habitual es que le ayude a instalar el certificado SSL, después tendrá que realizar una serie de
acciones para migrar su sitio al protocolo HTTPS, como actualizar los vínculos internos del sitio, establecer
hasta 301 redireccionamientos, actualizar los vínculos de los correos electrónicos de las transacciones, etc.

En términos generales, el uso de un certificado SSL es hoy en día el precio básico de entrada en materia de
seguridad en Internet, y todo parece indicar que será incluso más importante cuando los navegadores
comiencen a penalizar los sitios HTTP.

Elija una plataforma segura y mantenerla protegida

En la actualidad, la oferta de plataformas de comercio electrónico es muy amplia. Es importante garantizar que
la plataforma de comercio electrónico elegida no solo funciona como usted desea, sino que cuenta con una
buena reputación en materia de seguridad y se actualiza regularmente.

Herramientas como Magento, WooCommerce y PrestaShop constituyen plataformas de comercio electrónico

muy populares. Sin embargo, su popularidad pasa factura. Los hackers buscan constantemente vulnerabilidades
en estas herramientas, por lo que los desarrolladores no dejan de lanzar parches y actualizaciones de seguridad.

La clave radica en no presuponer que una vez que el sitio está disponible en Internet, ya no es necesario
mantenerlo ni actualizarlo, o que estas tareas son responsabilidad del desarrollador, el diseñador o la empresa
de hosting.

6
En última instancia, usted es el responsable de la seguridad. Aunque no tenga conocimientos técnicos, debe
garantizar que alguien de su equipo, ya sea a nivel interno o a través de un proveedor o socio, vela por su
seguridad.

No olvide visitar el sitio web del fabricante de su software para estar al día de las actualizaciones y compruebe
con su experto en seguridad que estas se han implantado en su sitio.

Muchos estarán de acuerdo en que la mejor opción es usar una aplicación de seguridad para comercios
electrónicos integral que, además de protegerlo frente a las vulnerabilidades más comunes, comprobará el sitio
del proveedor para garantizar que se está ejecutando la versión más actualizada.

Proteja su área de administración

Una de las formas más sencillas y económicas para mejorar la seguridad de su sitio web es proteger su área de
administración.

Si utiliza una plataforma de comercio electrónico como Magento o WooCommerce (basadas en WordPress),
contará con un área de administración predeterminada. Simplemente modificando este aspecto evitará los
ataques de hackers más directos que buscan víctimas fáciles.

Un punto muy importante es cambiar el nombre de usuario del administrador predeterminado. Los hackers
buscan objetivos sencillos. Si utiliza un nombre de usuario predeterminado, tal como "admin", será una presa
fácil. Asegúrese de que sus credenciales de inicio de sesión son originales y difíciles de descifrar.

También puede restringir el acceso al área de administración estableciendo una lista de direcciones IP con
privilegios de acceso que supervise el administrador del servidor y que permita el acceso al área de
administración únicamente a direcciones IP conocidas.

Por último, puede configurar su área de administración de forma que notifique al administrador cada vez que
se supere un umbral específico, como un número determinado de intentos de inicio de sesión fallidos o intentos
de acceso con direcciones IP desconocidas.

Se trata de acciones sorprendentemente sencillas y económicas pero muy eficaces.

Realice copias de seguridad regulares de sus datos

¡Imagínese despertar y descubrir que su sitio ha sido hackeado!

Debe ser la peor forma de comenzar un día.

7
Pero, imagínese cómo se sentiría si no contase con una copia de seguridad. La cosa no hace más que
complicarse.

Recuerde que puede perder los datos por un fallo de hardware o por un simple error humano (estas cosas pasan).

La realidad es que nunca tomará demasiadas precauciones a la hora de realizar copias de seguridad de sus
datos. Y recuerde: USTED es el responsable.

No presuponga que es tarea de su empresa de hosting o su diseñador web. Sus datos son su propiedad y, por
tanto, su responsabilidad.

Aunque existen métodos manuales para realizar copias de seguridad de sus datos, el peligro es olvidarse o
perder el hábito de hacerlo regularmente y acabar con una copia de seguridad de hace dos o tres meses, que no
sirve para mucho.

La mejor solución es un servicio de copia de seguridad automático del que se pueda olvidar una vez
configurado. Esto le permitirá descansar sabiendo que sus datos están almacenados, protegidos y actualizados.

Nunca conserve los datos de las tarjetas de sus clientes

Algunas plataformas de comercio electrónico permiten aceptar los datos de la tarjeta de sus clientes y
almacenarlos. Esto es algo que NUNCA debería hacer.

Además, constituye una mala práctica, que podría acarrearle cuantiosas multas en caso de intrusión en sus
sistemas.

Lo ideal es utilizar los servicios de un proveedor de pasarela de pago y lograr que los pagos se realicen fuera
de su sitio. Estos proveedores cuentan con los niveles de seguridad más altos para gestionar este tipo de datos
sensibles.

Si está empezando su actividad y su presupuesto es ajustado, servicios como los de PayPal le permitirán
comenzar a operar. Además, algunos clientes prefieren utilizar PayPal, por lo que es bueno ofrecerles esta
opción.

Sin duda, también es una buena práctica tratar de conseguir la acreditación del Estándar de Seguridad de Datos
para la Industria de las Tarjetas de Pago(PCI DSS).

Para cumplir los requisitos de la norma PCI-DSS, su sitio web debe ser capaz de garantizar la integridad de los
datos financieros de sus clientes y deberá implantar un control de acceso sólido en toda la web.

Utilice un software antifraude basado en la geolocalización

8
Los ataques de hackers no son un problema local, sino mundial.

Los intentos de usar los datos de tarjetas robadas pueden implicar el robo de una tarjeta en una parte del mundo
para enviarla electrónicamente al otro extremo del planeta y utilizarla en actividades fraudulentas a través de
Internet.

Además del hecho de que puede perder ingresos al enviar productos de pedidos falsos y comenzar a recibir
recargos, lo ÚLTIMO que desea es ser identificado como una víctima fácil para los ciberdelincuentes.

Una forma de abordar este problema es emplear una herramienta antifraude basada en la geolocalización. Estas
herramientas proporcionan puntuaciones relativas al grado de probabilidad de fraude en tiempo real que
permiten al comercio determinar el nivel de riesgo de una transacción en particular.

El algoritmo analiza una serie de criterios relativos a la dirección IP el pedido y tiene en cuenta los métodos de
encubrimiento más populares, como el uso de proxies, y los compara con su base de datos de miles de millones
de transacciones para crear una puntuación de riesgo de fraude unificada.

En caso de sospecha, esta información le dará la oportunidad de reembolsar el dinero del pedido o realizar
comprobaciones manuales adicionales.

Lo que me lleva a hablar del siguiente punto…

Cree políticas y procedimientos de seguridad manuales

No subestime la eficacia de los procedimientos manuales más sólidos.

Por ejemplo, retomemos el caso anterior en el que recibe un pedido con una puntuación de riesgo alta, pero a
su parecer todo es correcto.

¿Qué debería usted o su equipo hacer? Podría a) fiarse de su intuición o b) realizar alguna investigación
adicional.

La opción b) es la más recomendable. En este punto es donde entran en juego sus políticas y procedimientos
de seguridad.

Aunque el simple hecho de pensar en procesos y procedimientos le haga bostezar, piense que puede ser tan
sencillo como telefonear al cliente al número proporcionado. Si no logra contactar con él, puede enviarle un
correo electrónico solicitándole uno o dos datos identificativos.

Se trata de encontrar la solución más adecuada para sus circunstancias.

9
Además, puede ampliar estas medidas a otros aspectos como las políticas en materia de contraseñas y la
seguridad física, por ejemplo para los objetos o portátiles robados usados para acceder a sus sistemas.

Seguridad multicapa

Puesto que no existe una fórmula mágica capaz de proteger su sitio, lo ideal es implantar una serie de capas de
seguridad.

Podría comenzar con un firewall. Puede optar por un firewall físico o un firewall de aplicación web, en función
de su presupuesto. Como poco, estas soluciones ofrecen una primera línea de defensa frente a los ataques de
hack más populares, como la inyección SQL o el XSS (cross-site scripting).

También puede reforzar su sitio usando una red de entrega de contenidos (CDN). Se trata de un conjunto de
servidores repartidos en distintos puntos geográficos que almacenan copias de las páginas de su sitio web.

Una de las ventajas de seguridad del uso de una CDN es que "aprende" a reconocer el tráfico malintencionado
e impide que su sitio sufra daños.

Otra ventaja es que una CDN es capaz de evitar los ataques de denegación de servicio distribuido (DDoS).

Como alternativa, también puede evitar los DDoS en su servidor usando el software gratuito Open Source.

Conclusión

Aunque la seguridad no es gratis, resulta más económica que sufrir ataques de hack.

En última instancia, no existe una única solución unificada capaz de proteger y asegurar los sitios de comercio
electrónico.

La mejor solución es combinar el software y la plataforma de hosting adecuados y logra mantener el sistema
actualizado y protegido.

En cualquier caso, prepárese para las malas noticias. No olvide realizar copias de seguridad automáticas de su
sitio.

Considere implantar un enfoque por capas usando distintas herramientas y no olvide que los fiables
procedimientos escritos son cruciales para mantener su sitio seguro y protegido.

10