Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿ES POSIBLE
GARANTIZAR
LA TOTAL
SEGURIDAD
DE LAS
TRANSACCIONES
ELECTRÓNICAS?
Uno de los requisitos indispensables que se demanda
a la hora de realizar una transacción por Internet es la
posibilidad de garantizar la seguridad de la operación.
Actualmente, los métodos de pago electrónico están
en el punto de mira, ya se trate de métodos físicos o
virtuales. Los principales riesgos tienen que ver con
la confidencialidad y la autenticación de los datos.
Un ejemplo claro es la venta en el mercado negro de
números de tarjetas de crédito para ser utilizadas en
algún momento para realizar pagos online. Y los métodos
de pago sin contacto, NFC (‘near field communications’),
aunque son más seguros que la lectura de tarjetas de
banda magnética, también son susceptibles de ser
utilizados de forma ilícita. ¿Cuáles son los principales
riesgos y ataques asociados a las transacciones en
el comercio electrónico?
DOSSIER 29
L
Lluís Vera
CEO de ACKCENT, profesor asociado del Departamento de
Operaciones y Data Science en ESADE Business School y director
académico del máster en Cybersecurity Management en la UPC
• Etalación
l equipo de usuario, a partir de la ins-
de software malicioso o la explota-
nazas particulares a las que se halla expuesta ción de alguna vulnerabilidad que permita el
una transacción electrónica, veamos cuáles son acceso remoto o el control del dispositivo.
las motivaciones principales más frecuentes de
los “actores” que intentan comprometer la segu-
ridad. En primer lugar está, obviamente, la ob-
• Lterceptación
as comunicaciones, a partir de la in-
de las mismas y la obtención de
tención de beneficio económico. En el caso espe- datos confidenciales, como, por ejemplo, cre-
cífico del e-commerce, una manera para denciales de acceso.
conseguirlo es el robo de datos confidenciales de
usuarios o números de tarjetas de crédito y su
venta posterior en el mercado negro. Otra moti-
• Erigidos
l mismo usuario, mediante engaños di-
directamente a su persona a partir de
vación de los ciberdelincuentes es comprometer artimañas diseñadas para engañarlo e influen-
la infraestructura del proveedor de e-commerce ciar sobre su comportamiento mediante téc-
para tomar el control de parte de sus recursos y nicas de la denominada “ingeniería social”.
utilizarlos para lanzar ataques más sofisticados
dirigidos a otros sistemas o usuarios. Para contrarrestar estas amenazas, es reco-
mendable la adopción de medidas de prevención
EL ESLABÓN MÁS DÉBIL y protección:
En una transacción electrónica intervienen dos
agentes principales: el cliente o usuario que la
inicia y el proveedor que la facilita. Mientras que
• Pusuario
ara la seguridad del terminal de
es recomendable disponer de soft-
el cliente inicia la transacción a través de un dis- ware actualizado, así como fomentar el uso
positivo conectado a Internet, típicamente un de antivirus y software de seguridad para la
ordenador, una tableta o un smartphone, a tra- detección de comportamiento anómalo en
vés de los cuales accede a la tienda virtual me- los sistemas.
diante un navegador para formalizar el pedido
objeto de dicha transacción, el proveedor de e-
commerce facilita el acceso, a través de un ser-
• Pciones,
ara la seguridad de las comunica-
el cifrado del tráfico constituye un
vidor web, a una tienda virtual que permite lle- buen mecanismo para evitar la intercepta-
var a cabo el proceso de compra y completar la ción de datos sensibles –tipo creden- ➤ ➤ ➤
32 DOSSIER Harvard Deusto Márketing y Ventas
➤ ➤ ➤ ciales– enviados a través del canal de den llegar a ser muy sofisticadas, y persiguen
comunicación. el engaño del interlocutor para la manipu-
lación de sus acciones hasta lograr que faci-
• Ptiendas
ara la seguridad de las visitas a
virtuales conviene seguir ciertos
lite información o realice una determinada
acción.
principios de navegación segura: saber cómo
identificar a qué dominio se accede, si la pá- La gestión del riesgo asociado a las amenazas
gina a la que se quiere acceder con nuestros anteriores guarda una relación directa con la
datos está cifrada, etc. madurez del proveedor de e-commerce en térmi-
nos de seguridad. Cuanto más maduro sea el
• Prios
ara nuestra protección como usua-
debemos sensibilizarnos respecto a téc-
proveedor de servicios, mayor será su capacidad
de detección de alertas y de gestión de incidentes
nicas básicas de ingeniería social (campañas de seguridad. En este aspecto, cabe destacar que
de phishing, entre otras) para su detección y el sector cuenta con proveedores que, dada la
alerta temprana. La formación y la concien- criticidad y el impacto potencial de negocio, son
ciación en seguridad son algunas de las me- muy maduros en capacidades y competencias
didas más efectivas al alcance de los usuarios para dar respuesta a incidentes de seguridad.
para la detección de incidentes de seguridad. ¿Qué aspectos pueden ofrecer información acer-
De hecho, el desconocimiento relacionado ca de la madurez del proveedor de comercio elec-
con las prácticas más habituales utilizadas trónico en materia seguridad? Los siguientes:
por los ciberdelincuentes puede llegar a con-
vertir al usuario en uno de los puntos más
vulnerables de una transacción electrónica.
• Rtamaño,
eputación. El posicionamiento de marca,
solvencia del proveedor, experiencia
de compra de otros usuarios, etc. nos propor-
• Splataforma
istemas de control de acceso a la
• Azadas
taques a partir de técnicas avan-
de ‘hacking’, que aprovechan vul-
y de autenticación de
los usuarios. El sistema más habitual es
nerabilidades de la plataforma o errores de el uso de nombres de usuario y de contraseñas
configuración para obtener privilegios en robustas para el acceso a la tienda.
alguno de los componentes de la plataforma
tecnológica del proveedor. • Pporolíticas de seguridad publicadas
el proveedor. En especial, las relativas
• Aproveedor
taques dirigidos a empleados del
para la obtención de informa-
a uso, condiciones y garantías del servicio.