El comercio electrónico sigue imparable en su ascenso y, atraidos por este nuevo sector lleno de oportunidades, miles de personas se han lanzado de cabeza a crear su propia tienda online. Sin embargo, aunque ya no sean necesarias las alarmas o las cajas fuertes como en los comercios tradicionales, la seguridad ecommerce se ha convertido en una disciplina indispensable en el mundo del comercio online.
¡Presta atención! Estos son los 4 ataques a ecommerce más comunes y las mejores maneras de mitigarlos.
Probablemente sea la fuente de riesgo más común para un comercio electrónico y, en muchos casos, también la más difícil de controlar. Las técnicas y vulnerabilidades utilizadas por los ciberdelincuentes cambian constantemente y mantenerse al día para evitar este tipo de ataque puede ser todo un reto.
Tarjetas de crédito robadas: cualquier comercio online medianamente popular se encontrará inevitablemente con este tipo de fraude. El objetivo es siempre el mismo: el estafador intentará obtener acceso al producto antes de que el comercio detecte que la tarjeta es robada. Este tipo de fraude resulta especialmente peligroso en aquellos ecommerce que tratan con productos digitales y que deben entregarse al cliente de forma inmediata.
La forma más fácil de mitigar este problema, especialmente para un ecommerce de tamaño pequeño o mediano, es utilizar la pasarela TPV ofrecida por el banco. De esta forma es el propio banco quien asume la responsabilidad y el riesgo de validar la tarjeta.
Si por el contrario utilizas tu propia pasarela de pago, la responsabilidad de detectar y bloquear pagos posiblemente fraudulentos recae sobre ti. Algunas de las medidas de detección pasan por asegurar que el país de la tarjeta y el país de la IP del cliente coincidan o directamente poner en espera todos aquellos pagos que procedan de países sospechosos. En todo caso te recomendamos que sólo elijas este camino si tú y tu equipo contáis con suficiente experiencia.
Chargeback o devolución forzosa: el chargeback ocurre cuando tu banco o proveedor de pago te sustrae un cobro recibido, generalmente como consecuencia de haber aceptado una tarjeta fraudulenta. Sin embargo, existen otros casos en los que se puede realizar un chargeback:
No existe una manera 100% efectiva de evitar Chargebacks, pero dependiendo de la reputación de tu negocio y las pruebas que recopiles durante el momento de compra y envío del producto, puedes inclinar favorablemente la balanza a tu favor.
Una vulnerabilidad en la web: en este caso el fraude se realiza aprovechando una vulnerabilidad en el código de la página web, posibilitando que el atacante cambie el precio de los productos y reduzca considerablemente su valor.
A efectos legales es imposible probar que el ataque se realizó de forma intencionada (y no como fruto de un error) y, en la mayoría de las veces, el comercio deberá asumir el coste, sin opción a poder reclamar.
El primer requisito para evitar este tipo de ataques es contar con una página web cuyo código haya sido examinado exhaustivamente en búsqueda de vulnerabilidades por una o más personas que cuenten con los conocimientos necesarios. Si esto no es una opción, te recomendamos que utilices plataformas ecommerce de terceros como "Magento" o "Prestashop" que cuentan con versiones gratuitas, su código ha sido revisado y en la práctica ofrecen mayores garantías de seguridad para un ecommerce de tamaño pequeño o mediano.
Posiblemente este sea el tipo de ataque más grave y preocupante al que un ecommerce se pueda enfrentar. Si bien el fraude puede tener consecuencias económicas, la sustracción de datos sensibles de nuestros clientes puede arruinar nuestra reputación y conllevar serias consecuencias legales.
Números de tarjetas de crédito, contraseñas e información personal de nuestros clientes: estos son los principales datos que un atacante nos intentará sustraer, posiblemente para luego utilizarlos con fines de suplantación, robo o venta en el mercado negro. Desafortunadamente tener un ecommerce significa estar abierto al mundo entero y debemos contar con la posibilidad de que, en algún momento, en algún remoto lugar del planeta, alguien nos tiene en su punto de mira.
Para más inri, si somos víctimas de un ataque de este tipo es posible también que se nos multe por infringir la ley. Para ser exactos, la AEPD obliga a tomar las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. Si en caso de ocurrir una sustracción se demuestra que las medidas, a ojos de esta agencia estatal, eran insuficientes, podremos ser multados con cuantías que oscilan entre los 60.000 y 300.000 euros.
Aunque este tipo de ataque no vaya dirigido directamente contra nuestro ecommerce, sí es posible que nuestra reputación se vea dañada. En concreto, el Phishing ocurre cuando una persona con fines maliciosos crea una página web prácticamente idéntica a la nuestra con el objetivo de captar datos de nuestros clientes.
Cuanto más conocido sea nuestro ecommerce, más probabilidades existen de ser víctimas de un ataque de phishing. Frecuentemente los ciberdelincuentes incluso pagarán por anuncios (por ejemplo en Google) para aparecer en los términos de búsqueda relacionados con tu sector o actividad. Este tipo de ataque es especialmente frecuente en ecommerce que ofrecen servicios financieros.
Para combatir las páginas de phishing, lo mejor que podemos hacer es denunciar el caso en las páginas que te listamos a continuación:
Grupo de Delitos telemáticos de Guardia Civil: si el ataque afecta directamente tu negocio, es imprescindible que presentes una denuncia formal.
Google: para evitar que salga entre los resultados de búsqueda o publicidad del buscador [Enlace].
US-CERT: organización del gobierno de los Estados Unidos de emergencias tecnológicas. Basta con enviarles un correo electrónico a [email protected] para reportar casos de Phishing.
Finalmente nos encontramos con el tipo de ataque más común en la red: la denegación de servicio. Este tipo de ataque podría poner en jaque tu negocio online durante horas o incluso días si no cuentas con las herramientas necesarias para combatirlo.
En este caso un atacante utilizará una botnet (red de ordenadores infectados y que están bajo su control) para lanzar miles de peticiones de conexión por segundo a tu ecommerce. ¿El resultado? El servidor no podrá hacer frente a todas las peticiones y tu negocio estará inaccesible durante todo el tiempo que dure el ataque.
Sin embargo, existen medidas tecnológicas que podemos tomar para mitigar un ataque DDoS. Por ejemplo, muy frecuentemente el atacante utilizará una red de ordenadores alojada en países concretos como China o Rusia. Con los conocimientos necesarios, es posible bloquear las conexiones entrantes procedentes de estos países y así evitar la sobrecarga del servidor web.
Por otro lado, muchos ciberdelincuentes combinan los ataques DDoS con intentos de encontrar vulnerabilidades en la página web y acceder a información confidencial como comentamos en el punto número 2. Por esta razón es importante que cuentes de mecanismos para detectar y neutralizar este tipo de ataques lo antes posible, incluso si ocurrieran a las 4 de la madrugada.
Llegado este punto, queremos compartir nuestra opinión honesta como empresa de hosting especializada en ecommerce: si no cuentas con un equipo propio, es una buena idea que hables con tu proveedor para asegurar que este actúe en caso de incidencia. Al fin y al cabo es tu negocio el que está en juego.
Los proveedores especializados, como en nuestro caso, contamos con equipos de ingenieros que se encargan de monitorizar 24x7 los servidores de sus clientes y actuar de forma proactiva en caso de detectar una incidencia.
Al final, es cuestión de hacer un riguroso balance de los recursos con los que cuentas y decidir cuánto riesgo estás dispuesto a asumir. Para algunas personas su ecommerce es un proyecto menor y, para otras, asegurar la continuidad de su negocio online es una prioridad.
Sea como sea, esperamos que hayas disfrutado de la lectura de este artículo y lo hayas encontrado informativo. Si tuvieras cualquier pregunta o sencillamente quieres hacernos saber tu opinión, no dudes en dejarnos un comentario.
