Seguridad E-commerce: los 4 ciber ataques más comunes y como evitarlos.

Ecommercesecuritybasics

El e-commerce sigue imparable en su ascenso y, atraidos por este nuevo sector lleno de oportunidades, miles de personas se han lanzado de cabeza a crear su propia tienda online. Sin embargo, aunque ya no sean necesarias las alarmas o las cajas fuertes como en los comercios tradicionales, la seguridad E-commerce se ha convertido en una disciplina indispensable en el mundo del comercio online.

¡Presta atención! Estos son los 4 ataques a ecommerce más comunes y las mejores maneras de evitarlos:

1. Fraude directo

Probablemente sea la fuente de riesgo más común para un e-commerce y, en muchos casos, también la más difícil de controlar. Las técnicas y vulnerabilidades utilizadas por los ciberdelincuentes cambian constantemente y mantenerse al día para evitar este tipo de ataque puede ser todo un reto.

Tarjetas de crédito robadas:

Cualquier comercio online medianamente popular se encontrará inevitablemente con este tipo de fraude. El objetivo es siempre el mismo: el estafador intentará obtener acceso al producto antes de que el comercio detecte que la tarjeta es robada. Este tipo de fraude resulta especialmente peligroso en aquellos E-commerce que tratan con productos digitales y que deben entregarse al cliente de forma inmediata.

La forma más fácil de evitar este problema, especialmente para un E-commerce de tamaño pequeño o mediano, es utilizar la pasarela TPV ofrecida por el banco. De esta forma es el propio banco quien asume la responsabilidad y el riesgo de validar la tarjeta.

Si por el contrario utilizas tu propia pasarela de pago, la responsabilidad de detectar y bloquear pagos posiblemente fraudulentos recae sobre ti. Algunas de las medidas de detección pasan por asegurar que el país de la tarjeta y el país de la IP del cliente coincidan o directamente poner en espera todos aquellos pagos que procedan de países sospechosos. En todo caso te recomendamos que sólo elijas este camino si tú y tu equipo contáis con suficiente experiencia.

Chargeback o devolución forzosa:

El chargeback ocurre cuando tu banco o proveedor de pago te sustrae un cobro recibido, generalmente como consecuencia de haber aceptado una tarjeta fraudulenta. Sin embargo, existen otros casos en los que se puede realizar un chargeback: A través de Paypal o proveedores similares: cuando un estafador asocia una tarjeta robada a su cuenta de Paypal puede comprar sin levantar ningún tipo de sospecha. Sin embargo, es posible que hasta 6 meses después el pago se revierta en algún momento y sea Paypal quien retire el dinero de tu cuenta.

De forma voluntaria:

Es incluso posible que el estafador utilice una tarjeta o cuenta perfectamente legítima. A posteriori contactará a su banco o a Paypal argumentando que el cobro se realizó sin su consentimiento o que su tarjeta fue robada. Frecuentemente el banco o Paypal se posicionarán del lado del comprador y, como consecuencia, podrías perder el dinero hasta 6 meses después de haberlo cobrado. No existe una manera 100% efectiva de evitar Chargebacks, pero dependiendo de la reputación de tu negocio y las pruebas que recopiles durante el momento de compra y envío del producto, puedes inclinar favorablemente la balanza a tu favor. Una vulnerabilidad en la web: en este caso el fraude se realiza aprovechando una vulnerabilidad en el código de la página web, posibilitando que el atacante cambie el precio de los productos y reduzca considerablemente su valor.

A efectos legales es imposible probar que el ataque se realizó de forma intencionada (y no como fruto de un error) y, en la mayoría de las veces, el comercio deberá asumir el coste, sin opción a poder reclamar. El primer requisito para evitar este tipo de ataques es contar con una página web cuyo código haya sido examinado exhaustivamente en búsqueda de vulnerabilidades por una o más personas que cuenten con los conocimientos necesarios. Si esto no es una opción, te recomendamos que utilices plataformas ecommerce de terceros como “Magento” o “Prestashop” que cuentan con versiones gratuitas, su código ha sido revisado y en la práctica ofrecen mayores garantías de seguridad para un ecommerce de tamaño pequeño o mediano.

2. Robo de información

Posiblemente este sea el tipo de ataque más grave y preocupante al que un ecommerce se pueda enfrentar. Si bien el fraude puede tener consecuencias económicas, la sustracción de datos sensibles de nuestros clientes puede arruinar nuestra reputación y conllevar serias consecuencias legales. Números de tarjetas de crédito, contraseñas e información personal de nuestros clientes: estos son los principales datos que un atacante nos intentará sustraer, posiblemente para luego utilizarlos con fines de suplantación, robo o venta en el mercado negro. Desafortunadamente tener un ecommerce significa estar abierto al mundo entero y debemos contar con la posibilidad de que, en algún momento, en algún remoto lugar del planeta, alguien nos tiene en su punto de mira. Si somos víctimas de un ataque de este tipo es posible también que se nos multe por infringir la ley. 

3. Phishing

Aunque este tipo de ataque no vaya dirigido directamente contra nuestro ecommerce, sí es posible que nuestra reputación se vea dañada. En concreto, el Phishing ocurre cuando una persona con fines maliciosos crea una página web prácticamente idéntica a la nuestra con el objetivo de captar datos de nuestros clientes.

Cuanto más conocido sea nuestro E-commerce, más probabilidades existen de ser víctimas de un ataque de phishing. Frecuentemente los ciberdelincuentes incluso pagarán por anuncios (por ejemplo en Google) para aparecer en los términos de búsqueda relacionados con tu sector o actividad. Este tipo de ataque es especialmente frecuente en E-commerce que ofrecen servicios financieros.

Para combatir las páginas de phishing, lo mejor que podemos hacer es denunciar robo de informacion el caso en las páginas que te listamos a continuación:

  • Grupo de Delitos telemáticos de Guardia Civil: si el ataque afecta directamente tu negocio, es imprescindible que presentes una denuncia formal.
  • Google: para evitar que salga entre los resultados de búsqueda o publicidad del buscador [Enlace].
  • US-CERT: organización del gobierno de los Estados Unidos de emergencias tecnológicas. Basta con enviarles un correo electrónico a [email protected] para reportar casos de Phishing.

4. Ataques DDoS – Denegación del servicio

Finalmente nos encontramos con el tipo de ataque más común en la red: la denegación de servicio. Este tipo de ataque podría poner en jaque tu negocio online durante horas o incluso días si no cuentas con las herramientas necesarias para combatirlo.

En este caso un atacante utilizará una botnet (red de ordenadores infectados y que están bajo su control) para lanzar miles de peticiones de conexión por segundo a tu ecommerce. ¿El resultado? El servidor no podrá hacer frente a todas las peticiones y tu negocio estará inaccesible durante todo el tiempo que dure el ataque.

Sin embargo, existen medidas tecnológicas que podemos tomar para mitigar un ataque DDoS. Por ejemplo, muy frecuentemente el atacante utilizará una red de ordenadores alojada en Ataque DDoS de países concretos como China o Rusia. Con los conocimientos necesarios, es posible bloquear las conexiones entrantes procedentes de estos países y así evitar la sobrecarga del servidor web.

Por otro lado, muchos ciberdelincuentes combinan los ataques DDoS con intentos de encontrar vulnerabilidades en la página web y acceder a información confidencial como comentamos en el punto número 2. Por esta razón es importante que cuentes de mecanismos para detectar y neutralizar este tipo de ataques lo antes posible, incluso si ocurrieran a las 4 de la madrugada.

Llegado este punto, queremos compartir nuestra opinión honesta: si no cuentas con un equipo propio, es una buena idea que hables con tu proveedor para asegurar que este actúe en caso de incidencia. Al fin y al cabo es tu negocio el que está en juego..

Seguridad ecommerce:

Una decisión importante

Al final, es cuestión de hacer un riguroso balance de los recursos con los que cuentas y decidir cuánto riesgo estás dispuesto a asumir. Para algunas personas su ecommerce es un proyecto menor y, para otras, asegurar la continuidad de su negocio online es una prioridad.

Más artículos


¡Cuéntanos sobre tu proyecto!
Whatsapp