E-commerce si, pero seguro

e-commerce seguro
Comparte:

Por: Diego Samuel Espitia Montenegro *

Uno de los cambios más fuertes que generó la pandemia de covid-19, fue la necesidad empresarial de tener una tienda virtual o e-commerce, sin importar el tamaño de la empresa o del negocio todos buscaron como mover sus producto o servicios a Internet.

Sin embargo, algunas MicroEmpresas y PyMES siguen teniendo mucho temor a los fraudes e intimidados por el desconocimiento de este mundo digital al que les tocó enfrentarse sin preparación a un mundo nuevo.

Pero el comercio electrónico llegó para quedarse y es vital que todos los negocios se monten en ese tren, pero no sin entender sus riesgos y aprender a afrontarlos como han aprendido a afrontar los riesgos de la vida cotidiana en sus negocios.

Para esto lo primero que deben tener en cuenta es que a diferencia del mundo tradicional en el ambiente digital el dinero no es el único objetivo de los delincuentes, y aunque en muchos casos los fraudes o estafas se parezcan entre ambos mundos, en el ambiente digital los delincuentes valoran más los datos y la capacidad de generar mayores ataques que el propio dinero que puedan extraer de una PyME o una microempresa. Lo que hace que todas tengan el mismo nivel de riesgo, pero entendamos un poco por qué. 

Si bien es claro que los delincuentes quieren generar dinero, en el mundo digital los datos son como el oro y entre más tengan más ganancias pueden obtener, por lo que entrar a una tienda virtual y defraudar al negociante con un producto o con una compra solo les dará un ingreso, pero si logran infiltrar la tienda y en cada transacción que se realice obtener los datos de pago de los clientes o datos personales, es algo con el que pueden generar muchas transacciones fraudulentas o venta de información o uso de la información financiera o extorsiones, en fin.

Teniendo en cuenta esto, los delincuentes tienen dos objetivos primordiales cuando atacan a un comercio electrónico. El primero será los datos de clientes, proveedores y trabajadores de la empresa, y el segundo es la infraestructura tecnológica sobre la que esta soportada la tienda virtual.

El primer objetivo, se debe a la capacidad y facilidad de ataques que les brinda tener más datos, pues así como hoy las empresas mejoran y crecen usando los datos, los delincuentes usan los datos para diversificar los ataques o para alcanzar objetivos criminales mayores.

Así como en la vida cotidiana los delincuentes inician en pequeños negocios y terminan intentando atracos bancarios, en el mundo digital las organizaciones delictivas expanden sus capacidades obteniendo información. 

Entendamos con un ejemplo esta capacidad. Una microempresa de fabricación de pantalones para dotación de ropa de obras de construcción es atacada por un phishing que le permite al delincuente acceder a la información de clientes, donde se encuentra una de las empresas de hidrocarburos más grandes y encuentra que esta microempresa tiene unas credenciales de acceso para los sistemas de dicha entidad. Este dato puede ser la ventana oculta de acceso a la red de esa empresa de hidrocarburos y poder instalar un ransomware y cobrar millones de dólares a esa entidad por recuperar su información.

Muchos pensaran que es ciencia ficción, pero son incontables los casos donde un incidente muy grave y costo inicio simplemente en un correo electrónico a un proveedor o a un empleado.

El segundo objetivo suele ser menos crítico en cuenta a funcionamiento y reputación, pero más costoso económicamente para las empresas, esto debido a que en muchas ocasiones los comercios electrónicos son soportados por infraestructuras restadas que se pagan por uso.

Me explico, una empresa contrata a Telefónica para que su tienda este en linea y que tenga unas características técnicas de capacidad y procesamiento base, pero que en caso de requerir mayores capacidades debido a una gran cantidad de compras o a un día de rebajas, pues la infraestructura crezca para cubrir esa demanda puntual.

Cuando los delincuentes logran apropiarse de la tecnología enla que se soporta el sitio, pueden usar esta capacidad para ataques de DoS, para envió de SPAM, para tener paginas web fraudulentas, para suplantar sitios web, para almacenar información robada, entre otros.

Aumentando el consumo en capacidad de almacenamiento y en el procesamiento de la información, donde usualmente no va a ser muy alto, para no levantar sospechas, pero que generara un pago mensual que mina las finanzas de las PyMES.

Entendiendo estos riesgos, desde las micro empresas hasta las grandes empresas deben incorporar desde los diseños de sus tiendas virtuales a la ciberseguridad como una base funcional que es la que les va permitir mitigar el impacto en caso de que uno de estas amenazas se presente, pero teniendo claro que la ciberseguridad es el conjunto de procesos, personas y tecnología, orientadas a salvaguardar la información.

Con estos tres componentes es posible mitigar los riesgos teniendo en cuenta las necesidad y objetivos que se tengan con el comercio electrónico que se va a implementar, pero como una base se debería tener como mínimo las siguientes medidas:

  1. Capacitación a todo el personal de la organización en cuanto a las nuevas amenazas digitales y posibles canales de fraude que se puedan generar.
  1. Monitoreo permanente de la infraestructura, gestionando las alertas de amenazas y de actualización de los componentes de software.
  1. Tener una plataforma de pago asegurada y verificada por las entidades financieras, no implementar sistemas de pago locales o caseros que no brinden todos los controles que el sistema financiero exige.
  1. Tener un respaldo de la información, garantizando que este totalmente aislado de la red de funcionamiento del servicio.
  1. Pedir el mínimo necesario de información a clientes y proveedores, manteniendo esta información bajo absoluto control y con mecanismos de cifrado.

Estas medidas no son las únicas que puede implementar pero le permite tener un comercio electrónico seguro para usted y sus clientes, que le entregue todos los beneficios de este nuevo mundo digital y que va a ayudar a que más negocios puedan no solo superar la crisis, sino que se expandirán a nuevos mercados que le mundo tradicional jamás le brindara.

*Security Research – Telefónica Cybersecurity and Cloud Tech

Suscríbete a nuestro NewsLetter

Comparte:

Deja una respuesta