Cabecera Home
Revista Segurilatam Edición impresa
Síguenos:
Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Johan G. Mariño, Gerente de Sistemas de Corporativo Almaba

Protegiendo mi web y tienda ‘online’

El comercio electrónico cada día gana más terreno en el ámbito comercial: pasó de 18.000 millones de dólares en 2011 a 40.000 en 2016. En el caso de México, lidera las ventas ‘online’ en Latinoamérica.

Las páginas web y las tiendas online se han convertido en el escaparate virtual de un negocio, una ventana al mundo, la firma de una empresa actual y adaptada a los nuevos tiempos. Hablamos de espacios en la Red que están disponibles las 24 horas del día y que brindan información de una compañía de forma fácil e integrada, mostrando los productos y servicios que ofrece –de manera especial, aquellos por los que quiere ser conocida–.

Pero nuestra imagen estará en juego si tenemos algún problema que afecte a nuestros clientes. Por ello, proteger las transacciones y respetar la privacidad y los derechos de los consumidores es esencial para generar confianza en los usuarios. Pero, ¿por qué querrían atacar nuestra página web y tienda online?

Proveedores de confianza

La respuesta a dicha pregunta es: para robar la información de los clientes, sus contraseñas, datos de pago, correos electrónicos, etc., y utilizarlos, publicarlos o venderlos posteriormente. Y también para utilizar nuestro servidor web con el objetivo de aparentar ser otro negocio –en ese caso, fraudulento– o instalar publicidad engañosa, dejar fuera de servicio nuestra web para desprestigiarnos, robar nuestras contraseñas de acceso a otros sistemas, acceder a estos últimos y utilizarlos para fines maliciosos –spam, distribución de malware, ataques de denegación de servicio (DDoS, por sus siglas en inglés)–, etc.

Los ciberdelincuentes pueden atacar las tiendas online utilizando el factor humano, el fallo tecnológico o una combinación de ambos. En cuanto al primero, se aprovechan de la ingenuidad o de la buena disposición de las personas para conseguir lo que quieren. Por lo que respecta a los fallos tecnológicos (del software o de su configuración), son, en muchos casos, fallos conocidos que no están parcheados o no se protegen correctamente.

Es por ello que la selección de un proveedor de tecnologías de la información y la comunicación (TIC) para el desarrollo de nuestra web y el alojamiento de la misma ha de hacerse siempre, además de tener en cuenta los económicos, de calidad y de funcionalidad, con criterios de seguridad. En ese sentido, el proveedor debe demostrarnos su compromiso. La seguridad incluye aspectos como la confidencialidad, la integridad, la disponibilidad (evitar ataques, realizar backups…), el control de los accesos (quién tiene acceso a qué), aspectos legales (¿dónde estarán mis datos?), etc.

Para un alojamiento externo tendremos que comprobar que los acuerdos y contratos incluyan aspectos relativos a la confidencialidad de los datos, copias de respaldo, actualizaciones (parcheado) del software, interfaces y comunicaciones seguras para el administrador y auditorías externas para verificar la seguridad de la web.

Asimismo, hemos de tener en cuenta algunas preguntas importantes. Por ejemplo, si quiero migrar a otro proveedor, ¿cómo volcaré mis contenidos? ¿El servicio es escalable (almacenamiento y ancho de banda)? ¿Cómo es el panel de administración o backend? ¿Cómo se protegen los accesos lógicos? ¿El servicio técnico es telefónico o por correo electrónico? ¿En mi idioma? ¿Y en qué horario? ¿Cómo puedo verificar si un proveedor realiza backups e instala actualizaciones, certificados, antivirus…? ¿Cómo se monitorizará el servicio? ¿En qué país se alojará mi tienda online?

Estas preguntas tratan de averiguar la disponibilidad, la confidencialidad y la integridad de la información que voy a alojar y de los datos de los usuarios. Los fallos de disponibilidad, integridad y confidencialidad pueden causar un enorme daño a nuestra imagen y reputación y la pérdida de la confianza de los clientes.

Para el desarrollador web deberemos comprobar que se tienen en cuenta los requisitos de seguridad desde el principio, que se utilizan prácticas y metodologías de desarrollo seguras, que se audita el código, que se desarrollan sistemas actualizados, que se separan los entornos de producción y desarrollo…

Recomendaciones

Para garantizar la seguridad de nuestra web o tienda online en las operaciones de cada día debemos realizar las siguientes comprobaciones:

  • Que tenemos copias de seguridad y que sabemos restaurarlas.
  • Que no ha habido modificaciones no controladas de los contenidos.
  • Que no hay fraudes en los pagos/compras.
  • Quién accede al sistema gestor de contenidos (CMS) y qué permisos tiene.
  • Que se cambian las contraseñas de usuarios y administradores y que las mismas son robustas.
  • Que no hay variaciones en las analíticas de tráfico SEO (si no hemos hecho una campaña).
  • Que no recibimos opiniones negativas de clientes en redes sociales.
  • Que estamos suscritos a los boletines de seguridad de los fabricantes del software que utilizamos (CMS, servidor, etc.).

Si tenemos una tienda online, para detectar una posible compra fraudulenta debemos estar atentos a las siguientes situaciones:

  • Muchos clientes o muchas tarjetas de crédito con la misma dirección de entrega.
  • Varios intentos de compra erróneos en el TPV (con distintas tarjetas) antes de que la operación sea aceptada.
  • Solicitud de envío urgente del pedido.
  • Un gran pedido por parte de un cliente.
  • Un cliente de un país extranjero si no hemos hecho publicidad en él.

Los piratas informáticos utilizan sitios de ataque para alojar y distribuir software malicioso de forma intencionada. Estas son algunas medidas que nos ayudarán a detectar los ataques:

  • Comprobar la apariencia y funcionalidad de la web.
  • Revisar los sistemas de monitorización y el log de conexiones http y ftp.
  • Comprobar desde qué IP se han conectado vía FTP.
  • Comprobar el listado de ficheros en busca de cambios: directorios y subdirectorios, permisos, bases de datos, nuevos archivos, etc.
  • Comparar el código fuente de la tienda contra copias de seguridad.
  • Comprobar si hemos recibido alguna notificación de proveedores de servicios de alojamiento o de un tercero.

En cuanto a la respuesta ante incidentes, un backup siempre será nuestro mejor aliado en caso de desastre. Y en el supuesto de sufrir un ciberincidente que afecte a nuestra tienda online o web, tendremos que adoptar las siguientes medidas:

  • Poner offline la tienda o la web y contactar con el proveedor.
  • Obtener una copia de la web comprometida (evidencia forense del ataque) y guardar la cadena de custodia para poner una denuncia.
  • Denunciar aportando las evidencias.
  • Pasar el antivirus, cambiar las contraseñas y restaurar el servicio con una copia de seguridad.
  • Comprobar si nuestra página web o dirección IP está en alguna lista negra. Si es así, notificárselo al proveedor.

La mejor forma de evitar o sortear los incidentes, y sus consecuencias, es conocer bien en qué estado está nuestra seguridad y hacia dónde queremos dirigirnos para mejorarla. Para conseguir dicho objetivo, deberemos poner en práctica los siguientes consejos:

  • Tener un plan B para activar en caso de desastre con un procedimiento de actuación (responsables, teléfonos…).
  • Disponer de copias de seguridad comprobadas y alojadas en un lugar separado.
  • Contratar un sitio de respaldo.
Volver

Recibe GRATIS noticias en tu e-mail

¿Quieres estar informado? Ya puedes suscribirte de forma gratuita a nuestra newsletter