28 DOSSIER Harvard Deusto Márketing y Ventas

¿ES POSIBLE
GARANTIZAR
LA TOTAL
SEGURIDAD
DE LAS
TRANSACCIONES
ELECTRÓNICAS?
Uno de los requisitos indispensables que se demanda
a la hora de realizar una transacción por Internet es la
posibilidad de garantizar la seguridad de la operación.
Actualmente, los métodos de pago electrónico están
en el punto de mira, ya se trate de métodos físicos o
virtuales. Los principales riesgos tienen que ver con
la confidencialidad y la autenticación de los datos.
Un ejemplo claro es la venta en el mercado negro de
números de tarjetas de crédito para ser utilizadas en
algún momento para realizar pagos online. Y los métodos
de pago sin contacto, NFC (‘near field communications’),
aunque son más seguros que la lectura de tarjetas de
banda magnética, también son susceptibles de ser
utilizados de forma ilícita. ¿Cuáles son los principales
riesgos y ataques asociados a las transacciones en
el comercio electrónico?
 DOSSIER 29

L
Lluís Vera
CEO de ACKCENT, profesor asociado del Departamento de
Operaciones y Data Science en ESADE Business School y director
académico del máster en Cybersecurity Management en la UPC

a dependencia de la sociedad y de consecuencias que pueden llegar a tener para

la economía de las tecnologías de
la información es, a fecha de hoy,
incuestionable. A menudo, los me-
dios de comunicación publican
noticias sobre incidentes de ciber-
seguridad que ilustran las graves
las compañías que los sufren en lo que a repu-
tación, confianza y continuidad en la prestación
de servicios se refiere. Por eso, la seguridad in-
formática ha pasado a ser una de las prioridades
en la agenda de los gobiernos, de las organiza-
ciones y de los usuarios de Internet en ➤ ➤ ➤
30 DOSSIER Harvard Deusto Márketing y Ventas

➤ ➤ ➤ general. La ciberseguridad como disci-

plina tiene como objetivo garantizar de forma
efectiva la confidencialidad, la integridad y la
disponibilidad de los sistemas de información.
La rápida adopción y penetración de Internet en
los últimos años ha hecho aumentar el número
de activos digitales críticos a proteger y, con ello,
la complejidad del entorno. Lo que empezó sien-
do una red diseñada para interconectar orde-
nadores, se ha convertido en una red que conec-
ta también procesos, dispositivos e incluso
personas. Y cuantos más dispositivos se conec-
ten a una red, mayor será su exposición a las
amenazas y mayor la probabilidad de sufrir ci-
berataques de actores maliciosos o intentos de
acceso no autorizados. Dicho de otra forma: a
mayor visibilidad de un activo en Internet, ma-
yor probabilidad de que el ciberatacante pueda
llegar a comprometer el dispositivo.
Dada la creciente complejidad del entorno, la
ciberseguridad se está convirtiendo en una dis-
ciplina muy holística, porque, para proteger in-

La rápida adopción y puede presentar sesgos cognitivos y diferir en

penetración de Internet en
los últimos años ha hecho
aumentar el número de
activos digitales críticos
a proteger y, con ello, la
complejidad del entorno
formación confidencial, debe tener en conside-
ración no solo aspectos tecnológicos, sino
también todos aquellos relacionados con las
ciencias sociales, la comunicación y el compor-
tamiento humano. Así las cosas, podemos ha-
cernos una pregunta: ¿cómo podemos proteger-
nos de los ciberataques en nuestro día a día?
En este sentido, muchos consumidores asegu-
ran, por ejemplo, haber abandonado alguna vez
una página web por no disponer de métodos
seguros para realizar la compra, y todavía hay
usuarios que afirman que el motivo principal
para no comprar online es la duda que les supo-
ne pagar a través de la red. ¿Hasta qué punto son
seguras las transacciones electrónicas? ¿Es po-
sible garantizar al 100% su seguridad?
Debido a la naturaleza del ser humano, exis-
ten situaciones en las que el riesgo percibido
relación al riesgo real. A pesar de la percepción
de desconfianza que, a veces, pueda llegar a ge-
nerar el comercio electrónico, existen transac-
ciones realizadas por Internet que son mucho
más seguras que algunas de las que normalmen-
te realizamos en el mundo real. Pongamos por
caso la seguridad de algunos de los procesos de
pago que realizamos en el mundo físico. Por
ejemplo, es posible la obtención de los números
de una tarjeta de crédito mediante la simple ob-
servación, procesos de clonación de bandas
magnéticas o, en el caso de las tarjetas que in-
cluyen NFC –tipo de tecnología inalámbrica
bidireccional de corto alcance–, mediante es-
cuchas secretas o ataques dirigidos a las comu-
nicaciones. Sea como sea, es innegable que el
comercio electrónico constituye, sin duda, uno
de los principales pilares de la economía digital.
Según Forrester, hasta 2021, las ventas online
de los retailers europeos experimentarán, de
media, un crecimiento del 11% anual. Y, en su
desarrollo, la seguridad constituirá un factor
clave del éxito.
Por regla general, las amenazas a las que está
expuesta una transacción de e-commerce no di-
fieren en exceso de las amenazas a las que está
expuesto cualquier activo conectado a Internet.
Pero, antes de pasar a analizar de pleno las ame-
 ciberseguridad, clave para un márketing excelente
nazas particulares a las que se halla expuesta
una transacción electrónica, veamos cuáles son
las motivaciones principales más frecuentes de
los “actores” que intentan comprometer la segu-
ridad. En primer lugar está, obviamente, la ob-
tención de beneficio económico. En el caso espe-
cífico del e-commerce, una manera para
conseguirlo es el robo de datos confidenciales de
usuarios o números de tarjetas de crédito y su
venta posterior en el mercado negro. Otra moti-
vación de los ciberdelincuentes es comprometer
la infraestructura del proveedor de e-commerce
para tomar el control de parte de sus recursos y
utilizarlos para lanzar ataques más sofisticados
dirigidos a otros sistemas o usuarios.
EL ESLABÓN MÁS DÉBIL
En una transacción electrónica intervienen dos
agentes principales: el cliente o usuario que la
inicia y el proveedor que la facilita. Mientras que
el cliente inicia la transacción a través de un dis-
positivo conectado a Internet, típicamente un
ordenador, una tableta o un smartphone, a tra-
vés de los cuales accede a la tienda virtual me-
diante un navegador para formalizar el pedido
objeto de dicha transacción, el proveedor de e-
commerce facilita el acceso, a través de un ser-
vidor web, a una tienda virtual que permite lle-
var a cabo el proceso de compra y completar la
DOSSIER 31
transacción. La mayoría de proveedores de e-
commerce cuentan con elementos tecnológicos
suministrados, a su vez, por otros proveedores
de servicios financieros para validar la petición
y posterior autorización del pago electrónico.
Desde el punto de vista de la ciberseguridad,
la seguridad de un sistema online está definida
por la seguridad de su punto más débil. Dicho
de otra forma, para vulnerar la seguridad de una
transacción electrónica basta con comprometer
la seguridad de su parte menos segura. En el
caso de una transacción de e-commerce, los ci-
berdelincuentes tienen dos formas de compro-
meterla: vulnerando la seguridad del sistema
del cliente o vulnerando la del proveedor del
servicio. Veamos ambas cuestiones:
1 VULNERAR LA SEGURIDAD DEL
CLIENTE. En lo que se refiere al cliente, las
principales amenazas tienen que ver con el com-
promiso de alguno de los siguientes elementos:
• Etalación
l equipo de usuario, a partir de la ins-
de software malicioso o la explota-
ción de alguna vulnerabilidad que permita el
acceso remoto o el control del dispositivo.
• Lterceptación
as comunicaciones, a partir de la in-
de las mismas y la obtención de
datos confidenciales, como, por ejemplo, cre-
denciales de acceso.
• Erigidos
l mismo usuario, mediante engaños di-
directamente a su persona a partir de
artimañas diseñadas para engañarlo e influen-
ciar sobre su comportamiento mediante téc-
nicas de la denominada “ingeniería social”.
Para contrarrestar estas amenazas, es reco-
mendable la adopción de medidas de prevención
y protección:
• Pusuario
ara la seguridad del terminal de
es recomendable disponer de soft-
ware actualizado, así como fomentar el uso
de antivirus y software de seguridad para la
detección de comportamiento anómalo en
los sistemas.
• Pciones,
ara la seguridad de las comunica-
el cifrado del tráfico constituye un
buen mecanismo para evitar la intercepta-
ción de datos sensibles –tipo creden- ➤ ➤ ➤
32 DOSSIER Harvard Deusto Márketing y Ventas
➤ ➤ ➤ ciales– enviados a través del canal de
comunicación.
• Ptiendas
ara la seguridad de las visitas a
virtuales conviene seguir ciertos
principios de navegación segura: saber cómo
identificar a qué dominio se accede, si la pá-
gina a la que se quiere acceder con nuestros
datos está cifrada, etc.
• Prios
ara nuestra protección como usua-
debemos sensibilizarnos respecto a téc-
nicas básicas de ingeniería social (campañas
de phishing, entre otras) para su detección y
alerta temprana. La formación y la concien-
ciación en seguridad son algunas de las me-
didas más efectivas al alcance de los usuarios
para la detección de incidentes de seguridad.
De hecho, el desconocimiento relacionado
con las prácticas más habituales utilizadas
por los ciberdelincuentes puede llegar a con-
vertir al usuario en uno de los puntos más
vulnerables de una transacción electrónica.
2 VULNERAR LA SEGURIDAD DEL
PROVEEDOR. En el caso del proveedor
de e-commerce, las amenazas acostumbran a
orientarse o bien hacia el sistema de informa-
ción que soporta la plataforma online, o bien
hacia las personas y los equipos involucrados en
la gestión que realiza el proveedor. La mayor
parte de los incidentes de seguridad en entornos
de e-commerce guardan relación con:
• Ucomo
so de ‘malware’ (software malicioso),
los conocidos virus, gusanos, troyanos
u otros programas diseñados a medida para
llevar a cabo acciones ilícitas.
• Tjetas
ransacciones con números de tar-
obtenidas con métodos fraudulentos.
• Azadas
taques a partir de técnicas avan-
de ‘hacking’, que aprovechan vul-
nerabilidades de la plataforma o errores de
configuración para obtener privilegios en
alguno de los componentes de la plataforma
tecnológica del proveedor.
• Aproveedor
taques dirigidos a empleados del
para la obtención de informa-
ción confidencial. Al igual que en el caso del
usuario final, las técnicas empleadas pue-
den llegar a ser muy sofisticadas, y persiguen
el engaño del interlocutor para la manipu-
lación de sus acciones hasta lograr que faci-
lite información o realice una determinada
acción.
La gestión del riesgo asociado a las amenazas
anteriores guarda una relación directa con la
madurez del proveedor de e-commerce en térmi-
nos de seguridad. Cuanto más maduro sea el
proveedor de servicios, mayor será su capacidad
de detección de alertas y de gestión de incidentes
de seguridad. En este aspecto, cabe destacar que
el sector cuenta con proveedores que, dada la
criticidad y el impacto potencial de negocio, son
muy maduros en capacidades y competencias
para dar respuesta a incidentes de seguridad.
¿Qué aspectos pueden ofrecer información acer-
ca de la madurez del proveedor de comercio elec-
trónico en materia seguridad? Los siguientes:
• Rtamaño,
eputación. El posicionamiento de marca,
solvencia del proveedor, experiencia
de compra de otros usuarios, etc. nos propor-
cionan información fácilmente contrastable
en la red.
• Tdas.
ecnologías de seguridad utiliza-
Por norma general, los proveedores de
comercio electrónico adoptan medidas de
seguridad con el objetivo de mantener un ni-
vel de seguridad elevado. Usar, por ejemplo,
certificados SSL (Secure Sockets Layer) para
establecer conexiones seguras (un certifica-
do SSL sirve para brindar seguridad al visi-
tante de una página web y demostrar a los
clientes que el sitio es auténtico, real y con-
fiable) e identificar el sitio web de forma in-
equívoca, a la vez que cifrar las comunicacio-
nes, pueden ser buenos indicadores.
• Splataforma
istemas de control de acceso a la
y de autenticación de
los usuarios. El sistema más habitual es
el uso de nombres de usuario y de contraseñas
robustas para el acceso a la tienda.
• Pporolíticas de seguridad publicadas
el proveedor. En especial, las relativas
a uso, condiciones y garantías del servicio.
• Idenformación sobre el cumplimiento
medidas de carácter legal y cer-
 ciberseguridad, clave para un márketing excelente
DOSSIER 33

tificaciones de seguridad. Que acre-

diten la gestión de seguridad del proveedor.

• Mqueétodos de pago soportados. Aun-

existen varias modalidades para efec-
tuar pagos online, la forma más habitual es
mediante tarjetas de crédito o débito. Uno
de los métodos de pago más extendidos es
el que se conoce como pasarela de pagos, o
TPV virtual. Al igual que en el caso de un
TPV en una tienda física, un TPV virtual es-
tablece una conexión con la entidad finan-
ciera, a la que le envía los datos de la tarjeta
y verifica la validez de la transacción. El soft-
ware que corresponde a la pasarela de pagos
es suministrado por el proveedor financiero,
de forma que el proveedor de la plataforma
de comercio electrónico no almacena los da-
tos correspondientes a las tarjetas de crédito.
En algunos casos, sobre todo en transaccio-
nes de importe elevado, la entidad financiera
puede solicitar un segundo factor de auten-
ticación, como una coordenada correspon-
diente a una tarjeta de claves o un mensaje
recibido en el móvil.
Los ciberdelincuentes
CONSIDERACIONES FINALES tienen dos formas
Los ciberataques afectan a todos los sectores de comprometer la
de actividad y pueden llegar a cualquier tipo
de organización, independientemente de su
seguridad: vulnerando
tamaño. Los estudios que recogen información la seguridad del sistema
sobre incidentes de seguridad informática del cliente o vulnerando
muestran que el negocio del cibercrimen está
creciendo, fundamentalmente por la rentabi- la del proveedor
lidad que están obteniendo los actores que lo del servicio
promueven, y que los ciberataques se están
convirtiendo en un gran problema para las tec-
nologías de la información, dadas las graves alerta temprana y la detección y gestión de in-
consecuencias que provocan a las empresas y cidentes se gestionan 24 horas al día, 7 días a
a sus clientes. A pesar de la mejora de las habi- la semana, 365 días al año.
lidades profesionales y de los equipos de ciber- Pero, por muchos controles de seguridad
seguridad que se encargan de su mitigación, a basados en la tecnología que se desarrollen, el
menudo, los ataques sobrepasan las capacida- factor humano es fundamental. Numerosos
des técnicas y operativas de las industrias. Por estudios sobre incidentes de seguridad mues-
eso, la seguridad ha de entenderse como un tran cómo este es el denominador común en la
proceso basado en la mejora continua. En los mayoría de casos que se producen. Dado que
entornos más maduros, la gestión de la segu- el factor humano interviene tanto en el desa-
ridad se conceptualiza como un proceso en el rrollo y diseño de los sistemas como en la uti-
cual se ejecutan controles técnicos y operativos lización de los dispositivos como usuarios, la
en los que participan equipos multidisciplina- sensibilización, la concienciación y la forma-
“¿Es posible garantizar
res de forma organizada y coordinada. En estos ción en ciberseguridad deberían ser una prác- la total seguridad de las
tica generalizada de todo actor en la sociedad transacciones electrónicas?”.
entornos, procesos como la monitorización © Planeta DeAgostini
continua de amenazas y vulnerabilidades, la de la información. ■ Formación, S.L.