La seguridad en el comercio electrónico no es opcional. Cada vez más empresas están migrando o sumando tiendas de venta en línea; el comercio electrónico no para de crecer. La delincuencia sigue de cerca este avance. Ellos también crecen. Poner la atención necesaria a este importante aspecto es crítico. Tener una tienda online con una seguridad robusta ante los ataques es el primer paso hacia un negocio exitoso.
Una pequeña anécdota sobre la seguridad en el comercio electrónico
Esto sucedió hace muchos años en el sitio web de un antiguo cliente de quien escribe. Estaba montado sobre WordPress, ya por entonces el CMS (Content Management System) más utilizado y, por esa misma razón, el más explotado a la hora de buscar vulnerabilidades por parte de los cyber vándalos.
A través de una vulnerabilidad conocida de este popular CMS, los atacantes depositaron un archivo oculto que contenía cientos de URL de sitios web de dudosa reputación, y cada una llevaba adosado un número, una especie de identificador.
Habían insertado al inicio de cada uno de los cientos de scripts PHP -el lenguaje sobre el que está construido el sistema- un código que se ejecutaba en cada visita. Este código, aleatoriamente, decidía si la página web se cargaba normalmente o realizaba su tarea maliciosa, la cual consistía en tomar alguna de las cientos de URL del archivo oculto y redireccionar al usuario hacia allí.
Resultó que el número identificador adosado a cada URL era un código de referencia mediante el cual, estos sitios web de destino identificaban a su titular y le pagaban una suma de dinero insignificante por enviarle tráfico, pero que multiplicada por miles de sitios infectados, se volvía una suma importante.
Pero estos tipos jamás supieron que estaban “hackeando” este sitio web, ya que toda esta tarea se realizaba de manera automática. Ellos solo identificaron una vulnerabilidad del CMS, y desarrollaron un bot que: 1) buscaba por todo internet sitios que estuvieran utilizándolo, 2) chequeaba la vulnerabilidad y 3) finalmente lo infectaba. Tal vez mientras esto sucedía en éste y otros miles de sitios web, ellos estaban durmiendo, tomando cerveza en algún bar, o tal vez desarrollando un nuevo bot para explotar otra vulnerabilidad.
Como desarrollador de software es inevitable sentir cierta admiración por el ingenio y la capacidad técnica de estas personas, pero, por otro lado, la sensación de vulnerabilidad y de desprotección que deja un evento de este tipo es escalofriante.
Si bien este sitio web solo era institucional e informativo y no implicaba datos sensibles como el de una web de comercio electrónico, fue un problema importante, ya que Google había detectado esta infección y lo había quitado de sus resultados de búsqueda, que era la razón principal por la cual el cliente necesitaba esta web.
Gracias a un viejo backup, se restauró la web y luego se actualizó el software involucrado, algo que no se hacía desde que se había publicado el sitio un par de años antes.
Una importante lección de seguridad informática -y es la acción más básica- consiste en mantener actualizado el software. En aquel caso, la versión del CMS, sus plugins, etc. Tan sencillo como eso.
Pero si era tan sencillo, ¿por qué no se había hecho antes?
Luego del desarrollo inicial del sitio web, aquel cliente había decidido no contratar un servicio de mantenimiento porque -según creía- no era necesario, ya que la web no tendría modificaciones. Debido a esto, nadie se ocupó de implementar controles periódicos, ni mucho menos realizar las actualizaciones del software. El resultado es el relatado, que llevó a la pérdida de ranking en los buscadores que tanto le había costado obtener.
Fue mi primer encuentro con un incidente de seguridad informática. Pero no sería el último. Desde entonces ha sido mucho más común encontrarse con este y otro tipo de ataques, pero por suerte, desde entonces también hay muchas más herramientas para protegerse, o -al menos- yo ahora las conozco.
La importancia de la seguridad en el comercio electrónico
Algo con lo que aquel cliente trató de justificar su decisión de no realizar mantenimiento de su web, fue que al ser un “sitio web sin importancia”, “no ser una empresa grande” y demás consideraciones similares, nadie se iba a interesar en “hackearlo”. Claramente estaba equivocado.
Si un sitio web simple como aquel fue carne de cañón para estos atacantes, queda claro que un sitio que maneje datos sensibles de sus usuarios, como correos electrónicos, direcciones, números de tarjetas de crédito, entre otros., tiene muchísimas más posibilidades de estar en la mira de estos delincuentes cibernéticos.
Ni en aquel entonces, y mucho menos hoy, la seguridad es un tema a soslayar. Las amenazas están ahí siempre, esperando encontrar un hueco para colarse. Todos los días, delincuentes, como los del relato y otros mucho más peligrosos y avezados, están buscando vulnerabilidades que les permitan hacerse con una recompensa mal habida.
Cada vez más sitios recolectan información sensible de sus usuarios y esto implica una responsabilidad que muchos no tienen en cuenta. El caso particular de los sitios de eCommerce agrega el condimento de las transacciones comerciales, con la necesidad de reforzar aún más la seguridad, tanto del sitio como de sus usuarios, para asegurar que las compras online se hagan de manera segura.
Técnicas de fraude informático como el Phishing (suplantación de identidad), XSS (Cross Site Scripting), perfiles falsos, web skimming (robo de datos en el navegador), infección con malware (como lo relatado al inicio), ataques DDoS (ataques de denegación de servicio), técnicas de ingeniería social, etc, etc., son amenazas lamentablemente inevitables.
Es casi seguro que tarde o temprano nos encontraremos con alguna forma de ataque en nuestros sistemas. Es estratégico estar preparados para mitigarlo y que termine siendo solo una anécdota interesante para contar.
La confianza es uno de los valores más importantes en la relación entre las empresas y los consumidores, y estar a la altura de lo que estos últimos esperan es de vital importancia para sostenerla. Cualquier descuido en materia de seguridad puede socavar la confianza que llevó años construir. Cualquier inversión de tiempo y recursos en este apartado nunca es suficiente, no es una opción, siempre debería ser prioridad.
8 tips esenciales para mejorar la seguridad en el comercio electrónico
Podríamos hacer una lista tan extensa de aspectos a tener en cuenta a la hora de pensar, implementar y mantener un sistema de comercio electrónico, pero este artículo se haría muy largo y aburrido, por lo que vamos a mencionar algunos que, por su importancia, no pueden ignorarse.
1. Elegir la plataforma eCommerce adecuada
Existen muchas plataformas para implementar un sistema de comercio electrónico. Algunas solo requieren la contratación y -con un poco de ayuda profesional- el sitio puede estar en funcionamiento en poco tiempo. Casi todas estas plataformas se hacen cargo de las cuestiones relacionadas con la seguridad, alojamiento de los datos, etc. Lo cual nos evita tener que leer el resto de este artículo.
Otras requieren la instalación, configuración y alojamiento por parte nuestra. Como es de esperar, también habrá que estar atento a las cuestiones de seguridad pertinentes, con lo cual podría ser útil continuar leyendo.
Para más detalles sobre cómo elegir una plataforma de eCommerce, en el blog hay una nota al respecto, pero de más está aclarar, que sea cual sea la plataforma elegida, se deberán priorizar sus aspectos de seguridad.
2. Actualizaciones de software
Una de las conclusiones que se desprende del relato inicial es que no mantener actualizado el software sobre el que está funcionando el sistema con sus últimas versiones no es una opción.
No solo los delincuentes están buscando vulnerabilidades, sino que los desarrolladores y usuarios de cada sistema también. Esto permite que puedan ser solucionadas antes de ser descubiertas por los primeros y explotadas con malicia.
Los sistemas son una compleja maquinaria en la que muchas personas, directa o indirectamente, están involucradas. Y esto no solo sucede con el software libre, el software propietario también hace uso de librerías de terceros. Esto implica que la vulnerabilidad de una de esas partes comprometa al conjunto, tal como sucedió hace algunos meses con la librería de Java Log4j, ampliamente utilizada para registro de eventos y que -debido a una vulnerabilidad- permitía ejecutar código de terceros en los servidores donde estaba alojada, comprometiendo la seguridad de todo software que la utilizaba como componente. Luego de algunas actualizaciones el problema fue subsanado y el incidente pasó al olvido, pero muy probablemente muchísimos sistemas no hayan actualizado aún esta librería, y tal vez nunca lo hagan, dejando este hueco listo para ser atacado.
Mantener el software actualizado no solo es muy importante, sino que generalmente es muy sencillo. Es la medida de seguridad más básica que nadie debería dejar de implementar.
3. Cifrado y certificados de confianza SSL/TLS
Hace mucho tiempo que el cifrado de la comunicación en la red es moneda corriente, es lo más normal que cualquier sitio (aunque no maneje datos confidenciales) tenga el clásico “candadito” en la barra del navegador, que representa la privacidad de la comunicación. Cuando esto no sucede, son los mismos navegadores quienes nos informan de esta situación, poniendo bajo sospecha (muchas veces de manera infundada, pero lógica) las intenciones del sitio que visitamos. Pero esto solo nos asegura que nuestros datos no podrán ser descifrados. Es un paso adelante, pero para nada suficiente.
Sumada a la encriptación de la comunicación, los certificados SSL (Secure Socket Layer), y su versión mejorada TLS (Transport Layer Security) son emitidos por empresas que asumen el rol de Autoridad de Certificación (CA) con diferentes niveles de confianza.
El más básico DV (Domain Validated) verifica que quien lo solicita tiene el control del sitio web. El siguiente nivel es OV (Organization Validated) que suma el requerimiento datos sobre la entidad que está detrás, como teléfono, dirección física y demás datos de contacto. Finalmente, el EV (Extended Validated) suma verificaciones sobre la autenticidad concreta de la entidad, como su existencia legal y física. A más validaciones, mejor es la confiabilidad de una web, y en el caso del comercio electrónico, esto es importantísimo, ya que da la tranquilidad al usuario de que las transacciones las está realizando legítimamente con quien corresponde.
Brindar seguridad y confianza a los consumidores es fundamental, y allí juegan un papel importante este tipo de certificados.
4. Copias de seguridad
Es fundamental contar con respaldo de la información ante cualquier incidente que pueda destruir total o parcialmente el sistema. Asegurar esto garantiza la rápida recuperación, no solo ante ataques, sino ante cualquier otro tipo de incidente técnico que pueda darse durante la operación propia del mismo.
Parece una medida de seguridad demasiado básica para mencionarla aquí, pero no tener un respaldo actualizado puede ser la diferencia entre pasar un mal rato y perderlo todo. Lección que se desprende de la anécdota inicial, donde haber tenido un backup del sistema completo, permitió solucionar el problema en cuestión de minutos.
Automatizar la realización de copias de seguridad periódicas es otra obligación.
5. Evitar almacenar datos innecesarios
Cuando se produce el registro de los usuarios, la información queda guardada bajo el resguardo y responsabilidad de nuestro sistema. Y esta información es el premio más preciado por los cyber-delincuentes. Quienes harán todo lo que puedan por obtenerla. Así que cuanta menos información sensible guardemos, mucho mejor. Datos como nombres, emails y demás datos de contacto de por sí tienen un alto valor en el mercado que frecuenta esta gente. Pero datos como el número y otras características de la tarjeta de crédito, por ejemplo, pueden implicar perjuicios económicos graves y no deberíamos arriesgarnos innecesariamente.
No deberíamos guardar datos sensibles que no necesitemos, cualquier incidente con esta información incluso podría tener consecuencias legales.
6. Seguridad en los medios de pago
La utilización de uno a más medios de pago es la característica más obvia que debe tener un sistema de comercio electrónico. Siguiendo con el punto anterior, aquí podemos encontrarnos con que resulta inevitable manipular datos, tales como, la tarjeta de crédito de los usuarios.
Hoy en día, las pasarelas o integradores de pago se encargan de la seguridad de este tipo de datos en las transacciones y ayudan en la detección de fraudes y demás comportamientos sospechosos. Además, pueden ocuparse de los reembolsos y todo lo relacionado con los pagos.
Es una buena medida delegar el manejo de este tipo de datos en ellos, lo que permite dejar este punto crítico en cuanto a la seguridad en aquellos que se especializan en el tema. No importa que tan grande sea un sitio de comercio electrónico, no tendrá la experiencia, ni el background técnico sobre la seguridad necesaria en este tipo de transacciones, que tienen los profesionales que se dedican a eso a diario.
Además de evitar un problema difícil de resolver, damos seguridad a los usuarios y podemos dedicar los esfuerzos a otros aspectos del negocio.
7. Auditoría constante
Implementar protocolos que permitan sistematizar el análisis del sistema en su conjunto (Sistema Operativo, software, librerías utilizadas, configuración de la red, entre otros.), para encontrar problemas de seguridad, implementar mejoras, actualizar software, modificar configuraciones, abrir o cerrar puertos e identificar cualquier punto de posible vulnerabilidad es una obligación.
Automatizar estos análisis para obtener alarmas de posibles inconvenientes y resolverlos antes de que sea tarde, también.
Existen herramientas que nos ayudan a realizar análisis exhaustivos de seguridad de nuestros sitios, teniendo en cuenta diversos factores como protocolos utilizados, librerías desactualizadas, validez de los certificados, malware, etc.
Es una buena práctica hacer uso de este tipo de herramientas.
8. Optimización SEO
Aunque no aparezca a primera vista, existe una relación entre la seguridad y el SEO (Search Engine Optimization). Descuidar algunos aspectos de la seguridad, puede afectar la performance del sitio en los buscadores y hasta quitarlo de los resultados, como sucedió en la anécdota inicial.
Aspectos como los certificados de seguridad, mantener los códigos libres de malware y otras medidas traen aparejada una ventaja desde el punto de vista del SEO, porque buscadores como Google tienen en cuenta estas características, haciendo que su posicionamiento se vea favorecido (o al menos no perjudicado) si mantiene las medidas mínimas de seguridad requeridas hoy en día.
Mantenerse al día con la seguridad en el comercio electrónico.
¿Y entonces? ¿Qué es la seguridad en el comercio electrónico?
Técnicamente y en pocas palabras, como en cualquier sistema informático, podríamos decir que es un conjunto de técnicas para prevenir el uso indebido del mismo, que ponga en riesgo la información por parte de intrusos o agentes externos.
Coloquialmente y en pocas palabras, podríamos decir que la seguridad en el comercio electrónico es uno de los aspectos más importantes e inevitables a tener en cuenta en cualquier emprendimiento comercial en línea. Se ponen en juego datos de vital importancia para personas y empresas y debe ponerse un foco especial en ello. La responsabilidad es muy grande y una pequeña falla puede derivar en riesgos legales y económicos.
Dotar de una seguridad robusta a un sitio web de comercio electrónico no es una tarea sencilla. Afortunadamente, existen expertos dedicados a estas temáticas que están constantemente actualizados sobre nuevas vulnerabilidades y nuevas técnicas utilizadas por el cibercrimen. Y que a la vez estudian cómo mejorar la fiabilidad de los sistemas.
Por eso, es importantísimo contar con el apoyo técnico especializado y con experiencia comprobada en la materia.
Hay mucho más para profundizar, como la seguridad de las redes, técnicas de fraude o la seguridad del lado del usuario, que -si nos dan permiso- abordaremos en otra ocasión.
Por Roberto Pucheta, Tech Lead del área de middleware de Balloon Group.
Deja un comentario