Lo que necesita saber
sobre seguridad en el comercio electrónico

¿Quiere comprender en profundidad todos los aspectos modernos de la ciberseguridad de la transformación digital para los negocios en línea y el comercio electrónico? Lea atentamente este artículo y marquélo como favorito para volver a él más tarde, ya que actualizamos esta página con regularidad.

Sin embargo, la mayoría de las víctimas activas en el comercio electrónico y los negocios en línea no perciben o subestiman en gran medida estos riesgos, creyendo francamente que el tamaño o la naturaleza de su negocio los hace poco atractivos para hackers expertos, lo que les otorga una inmunidad digital. Lamentablemente, esta creencia generalizada es fatalmente incorrecta y ya ha llevado a muchas empresas prometedoras a abandonar su negocio o, en el mejor de los casos, ha eliminado años de rentabilidad.

A menudo, los ciberdelincuentes astutos evitan atacar directamente a sus víctimas, sino que se centran en sus socios y otros terceros de confianza que tienen acceso privilegiado a los documentos o datos que buscan los atacantes. Cuantos más clientes de importancia tenga, mayores son las probabilidades de que hackers profesionales lo elijan como objetivo.

de las empresas gastaron más de 1 millón de USD en la preparación del GDPR.

crecimiento del gasto en ciberseguridad por empleado en los últimos cinco años

aumento de ataques dirigidos
contra proveedores
ocurrió el año pasado

Los ciberdelincuentes experimentados prácticamente nunca atacan de forma frontal a las grandes organizaciones o empresas, sino que se dirigen a sus proveedores y prestadores de servicios, incluidos los proveedores de TI, contadores o bufetes de abogados. A la luz de una ciberdefensa comparativamente más débil y controles de seguridad a menudo deficientes, este enfoque indirecto reduce significativamente los costes y la complejidad de una intrusión, hace que la detección e investigación de incidentes sean altamente improbables y, por lo tanto, exime sabiamente a los atacantes de ser detectados y procesados por las autoridades de aplicación de la ley. A veces, incluso si la brecha se detecta posteriormente, las víctimas más pequeñas no tienen capacidad financiera para investigarla adecuadamente ni responder a ella. Mientras que los atacantes obtendrán exactamente lo que buscan sin hackear directamente al objetivo principal. Por lo tanto, las empresas de todos los tamaños y de cualquier sector industrial se encuentran inevitablemente en el radar omnisciente de los ciberdelincuentes sin escrúpulos.

Además, las pymes descuidadas caen casi inevitablemente víctimas de bandas cibernéticas bien organizadas que se centran en campañas de hacking a gran escala y de baja complejidad. Esto incluye la explotación automatizada de vulnerabilidades públicamente conocidas en software web obsoleto como WordPress o Magento. Los ciberdelincuentes monitorean continuamente Internet mediante Shodan o trucos especiales de Google, buscando aplicaciones, servidores y sitios web expuestos y vulnerables. Una vez identificada una víctima susceptible, se la hackea automáticamente, se le instala una puerta trasera y hasta se parchea para impedir que otras bandas la exploten después. Una vez que los atacantes acumulan cientos de sistemas o sitios web comprometidos, los venden en paquetes en Dark Web marketplaces por tan solo de $1 a $10 por sistema afectado. Posteriormente, estos sistemas se utilizan para enviar spam, alojar contenido pornográfico, realizar ataques DDoS o incluso lanzar intrusiones sofisticadas en sistemas gubernamentales, camuflando perfidamente la identidad real de los atacantes. Más tarde, las pymes inocentes pueden ser allanadas por agentes de la ley e incluso acusadas de una amplia gama de cargos penales por hacking ilegal o robo de propiedad intelectual.

Normativa de cumplimiento y protección de datos en el comercio electrónico

Empresas de todos los tamaños deben cumplir con las leyes de protección de datos y regulaciones de privacidad impuestas en el comercio electrónico, negocios en línea y el espacio digital. Quizás, el GDPR de la UE sea el más conocido gracias a las severas sanciones financieras por incumplimiento, que pueden alcanzar hasta el 4% de la facturación anual o 20 millones de euros, lo que sea mayor. Esta ley europea, aprobada en 2016 y plenamente aplicable desde 2018, se aplica a todas las empresas que procesen o almacenen Información Personal Identificable (PII) de residentes europeos. Incluso un pequeño incumplimiento puede desencadenar una queja ante una autoridad de protección de datos, una investigación y una sanción. Recientemente, el estado de California aprobó una ley estatal similar, el CCPA, destinada a proteger la PII de los residentes de California.

Todas las empresas que procesan transacciones con tarjetas de crédito, independientemente del volumen de dichas transacciones, están obligadas a cumplir con PCI DSS bajo el riesgo de multa y suspensión inmediata de la autorización para procesar cualquier transacción con tarjetas de crédito, como Visa, MasterCard o American Express.

Estas son solo algunas de las leyes y regulaciones que cabe mencionar en el cada vez más complejo panorama actual del cumplimiento normativo. Además, un número sin precedentes de empresas en todo el mundo se enfrentan a un número creciente de solicitudes de sus clientes para proporcionar una prueba convincente de los procesos de protección de datos relevantes, como la certificación ISO 27001 o el PCI DSS SAQ (cuestionario de autoevaluación).

Una sola vulnerabilidad de XSS o inyección SQL en un subdominio olvidado, o un almacenamiento en la nube expuesto accidentalmente en la nube pública de Amazon, puede provocar una filtración de datos catastrófica, seguida de pérdida de negocio, multas de autoridades regulatorias y demandas civiles de clientes cuyos datos hayan sido comprometidos. Peor aún, si las investigaciones técnicas y forenses realizadas por las autoridades legales revelan una grave falta de cumplimiento derivada de negligencia o ignorancia deliberada (por ejemplo, el incumplimiento de realizar pruebas de penetración regulares en sistemas críticos para el negocio), los tribunales europeos y estadounidenses probablemente no mostrarán clemencia al imponer multas monetarias y sanciones civiles concomitantes.

Riesgos de seguridad del comercio electrónico

Los ataques de phishing, ransomware y magecart contra el comercio electrónico y los negocios en línea aparecen cada mañana en titulares impactantes. Abarcan desde fugas de datos relativamente insignificantes que afectan a unos pocos miles de personas hasta cientos de millones de cuentas hackeadas con datos sensibles o de pago.

Los problemas de seguridad y privacidad más frecuentes suelen derivarse de una visibilidad incompleta u obsoleta de los activos informáticos y el almacenamiento de datos de la organización. Pocas organizaciones mantienen un inventario completo de sus activos expuestos a Internet, como sitios web, API, servicios de red o almacenamiento en la nube pública en Microsoft Azure o Google Cloud. Como resultado, estos sistemas quedan sin mantenimiento y, tan pronto como aparece una nueva vulnerabilidad de seguridad, se convierten en una puerta abierta a los tesoros de la organización.

El segundo problema común es el software obsoleto, que los ciberdelincuentes aprovechan para acceder a redes locales, bases de datos y servidores de archivos. Incluso un solo CMS web obsoleto puede ser explotado para comprometer el servidor web y, potencialmente, toda la red, el CRM y el ERP corporativos.

Tercero, el tercer problema más alarmante también es uno de los más difíciles de mitigar: los errores humanos, agravados por el olvido y el descuido omnipresentes. Los desarrolladores de software pueden filtrar accidentalmente código fuente sensible con credenciales codificadas en GitHub, un ingeniero de redes puede olvidar configurar correctamente los permisos de acceso en un bucket de AWS S3 con información confidencial, o un ejecutivo de alto nivel puede ignorar la política de contraseñas empresarial y utilizar la misma contraseña en sus cuentas personales. Los atacantes atentos rara vez pasan por alto estas bombas temporales invisibles, convirtiéndolas sistemáticamente en un valioso botín.

Lista de verificación de seguridad para el comercio electrónico

Para evitar ser víctima de ciberdelincuentes, recomendamos seguir los siguientes 5 pasos:

1. Audite el acceso a sus datos.
   Verifique quién tiene acceso a sus datos, incluidos sus empleados y terceros de confianza. Asegúrese de que el acceso a sus datos se otorgue estrictamente a quienes realmente lo necesiten en el ámbito de sus funciones profesionales, cubiertas por un NDA ejecutable, y solo hasta el grado necesario para el adecuado desempeño de tales funciones.
2. Garantice la visibilidad de sus activos de TI.
   Asegúrese de disponer de un inventario holístico, actualizado y completo de sus sitios web, nombres de dominio, almacenamiento en la nube, APIs y todos los demás sistemas o aplicaciones accesibles desde Internet. Mantenga un inventario inclusivo del software comercial y de código abierto (OSS) utilizado allí para reaccionar adecuadamente ante las vulnerabilidades recién reportadas.
3. Implemente un programa de gestión de parches.
   Asegúrese de que sus proveedores de TI y servicios sean capaces de responder rápidamente a cualquier vulnerabilidad recién detectada que afecte a su red interna, ordenadores domésticos, dispositivos móviles e infraestructura expuesta externamente. No dude en preguntar con qué frecuencia supervisan la actualización del software, y si ofrecen algún SLA (Service Level Agreement) medible que especifique claramente con qué frecuencia y con qué rapidez reaccionan ante las nuevas vulnerabilidades de seguridad que afecten a su negocio en línea.
4. Proteja sus aplicaciones web y móviles.
   Las aplicaciones vulnerables o desprotegidas son el vector de intrusión más frecuente en 2020. Compruebe la fiabilidad y la resistencia de sus aplicaciones, por ejemplo, utilizando nuestra prueba gratuita de seguridad de sitios web o nuestra prueba gratuita de seguridad de aplicaciones móviles. Una sola vulnerabilidad de seguridad web puede arruinar sus esfuerzos previos de protección de datos y permitir que los atacantes entren en su red.
5. Esté atento al phishing y al squatting.
   Los competidores sin escrúpulos pueden causar incluso más problemas que los ciberdelincuentes al robar sus clientes mediante dominios cybersquatted y typosquatted. Aún más daño provienen las cuentas falsas en redes sociales que intentan estafar a su clientela. En ImmuniWeb, ofrecemos una prueba en línea gratuita para detectar phishing y squatting en Internet.

Recursos adicionales

• Aprenda más sobre la gestión de la superficie de ataque con IA con ImmuniWeb^® Discovery
• Más información sobre pruebas de penetración de aplicaciones con IA en ImmuniWeb.
• Más información sobre las oportunidades del programa de partners de ImmuniWeb.
• Síganos en LinkedIn, X, Telegram y WhatsApp.