política de cookies

Utilizamos cookies para facilitar el uso de nuestra página web.

Las cookies que utilizamos no almacenan dato personal alguno, ni ningún tipo de información que pueda identificarle. En caso de no querer recibir cookies, por favor configure su navegador de Internet para que las borre del disco duro de su ordenador, las bloquee o le avise en caso de instalación de las mismas. Para continuar sin cambios en la configuración de las cookies, simplemente continúe en la página web. Al visitar nuestra página web, acepta la instalación de estas cookies en su dispositivo.

x
Bitendian logo

Seguridad e-commerce, algo a tener en cuenta.

Millones de usuarios se encuentran en línea cada día, ya sea en redes sociales, buscando información o comprando en Internet. El e-commerce, en los últimos años ha ido incrementando considerablemente, siendo, tanto la seguridad del cliente, como la de la propia empresa, un aspecto muy delicado a tener en cuenta.

Cuando hablamos de seguridad tenemos dos puntos de partida: el técnico y el de percepción. Aunque hoy en día la gente es menos reticente a dar su número de tarjeta y ya no es tanto una barrera a la hora de comprar en internet, si que aparecen nuevos cambios en la percepción del usuario ligados a la atención al cliente, y es esta necesidad de confianza depende menos de los detalles técnicos y más  de seriedad y confianza que transmite la empresa.

Es por eso que es importante cuidar los dos aspectos, para que el cliente confíe y, tanto usuario como empresa, estén resguardados de un posible delito.

En este post vamos a dar unos consejos sobre como aumentar la seguridad en el comercio electrónico, los diferentes trucos que usan los delincuentes para adentrarse en los sistemas y comprometer los sistemas de protección, además de cómo aumentar la confianza que proyectamos.

Los ataques más comunes

En un ataque tanto empresa como cliente pueden resultar víctimas. Dependiendo del ataque una parte se verá más afectada que la otra (o simplemente una de las partes), así que siempre es importante evitar a toda costa estas situaciones.

Fraude directo: Es una práctica más habitual de lo que se pueda llegar a pensar, y no solamente es el más común sino que es el más difícil de controlar.

  • Robo de tarjetas de crédito: El método, aunque es una idea sencilla, es uno de los más comunes. El ladrón se hace con una tarjeta o los datos de acceso y son usados en actos de mala fe. Este escenario es más difícil cuando la e-commerce trata con productos digitales. En las compras de vienes materiales es fácil detectar estas situaciones, ya que la dirección de envío suele ser diferente a la del comprador auténtico.
  • Manipulación en la propia web: Algunas páginas pueden ser tan vulnerables que es el propio usuario quien puede modificar el precio. Demostrar que fue un acto de mala fe y no un error informático es prácticamente imposible, así que será la empresa quien se verá afectada.

Para no caer en este ataque lo importante es revisar a conciencia el el código de la web en busca de vulnerabilidades y bugs.

Phishing: o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Este delito no afecta de forma técnica al negocio pero si que ataca a la confianza que tienen nuestros clientes hacia nosotros. Por eso es importante poder detectar estas paginas y denunciarlas tanto a Google como a la Guardia Civil.

Ataque DoS: En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (por sus siglas en inglés), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso esté bloqueado a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad con la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema atacado. Un ejemplo notable de ello se produjo el 27 de marzo de 2013, cuando el ataque de una empresa a otra inundó la red de correos basura provocando una ralentización general de Internet e incluso llegó a afectar a puntos clave como el nodo central de Londres. Este ataque hará inaccesible el negocio durante el tiempo que dure el ataque, haciendo que perdamos ventas, y de cara al usuario puede ser una muy mala imagen.

Una forma de evitarlo es bloquear el acceso a los países que son más comunes en estos ataques, además de contar con un un equipo de apoyo que controle el servidor y actúe inmediatamente ante una amenaza.

Pharming: es la evolución de phishing, pero este es más intrusivo. El ataque comienza cuando el ordenador del usuario queda afectado por un virus o un troyano. Desde ese momento el pharming redirige a sus víctimas un sitio web falso, incluso si escriben correctamente la dirección en el buscador.

Como en el phishing, la empresa no puede evitar este fraude, pero si puede estar atenta ante estas estafas y denunciarlas. Porque si el phishing nos daba una mala imagen, el pharming es aún peor… El usuario no ha entrado a través de un enlace fraudulento, sino que ha puesto correctamente la dirección de nuestro negocio confiando en que todo es correcto.

Robo de información: De cara al negocio este es el ataque más preocupante, porque no solo se verá dañada nuestra reputación sino que podemos tener problemas legales y ser multados por la LOPD.

El ciberdelincuente se hará con toda la información de nuestros usuarios (numero de tarjeta de crédito, contraseñas, datos personales…) para venderlas a otras empresas o suplantar la identidad de estos.

En todo caso siempre es importante seguir los pasos de la LOPD para que los datos se mantengan seguros y encriptarlos para que solo nos sean útiles a nosotros.

Requerimientos de seguridad en la red

Para asegurar la seguridad electrónica hay que tener en cuenta la seguridad en la transmisión de datos.

este aspecto es vital para al seguridad en nuestra empresa, pues tendremos el dominio certificado y con total protección. Esto asegura que la información del sitio viaje totalmente segura por la red. Si bien es cierto de que existe una remota posibilidad de que el sistema sea quebrantado, la seguridad que se tiene al contar con el SSL es mucho mayor.

Las siglas SSL responden a los términos en inglés Secure Socket Layer.  Con este protocolo los datos viajarán de manera matemáticamente encriptada garantizando la confidencialidad de los datos.

Este sistema nos ayudará en la seguridad de la tienda online y hará ver al cliente que es un sitio seguro. Además es fácil de comprobar para el usuario que seguimos este protocolo, ya que el http:// pasa a ser https:// y en el navegador veremos el candado indicativo de que la web es segura.

Al elegir un certificado SSL es necesario tener un objetivo claro en la actividad empresarial de la tienda y el público que tendrá acceso. Actualmente son múltiples los lugares que soportan el SSL, como aplicaciones y sitios web.

En las e-commerce el momento más delicado es cuando el usuario da sus datos bancarios para el pago, una forma de asegurarnos una buena transacción es usar la TPV virtual de nuestro banco. De esta forma, en el momento en el que el usuario introduce su tarjeta se la está dando directamente al banco, así que nosotros no tenemos porque almacenar ningún dato de este tipo. Por otro lado esta opción también es más económica ya que solo debemos integrar la pasarela de pago del banco a nuestra web.

Consejos para aumentar la confianza del cliente

Como hemos comentado hasta ahora es muy importante que el cliente se sienta seguro a la hora de hacer la compra. Si se encuentra con alguna barrera o algún punto que le genere desconfianza no acabará el proceso y seguramente no volverá.

Ofrecer diferentes métodos de pago: Es el aspecto más fundamental de la compra por Internet, debido a que nuestros clientes necesitan de una forma de pago, para que de esta forma podamos obtener los ingresos. Pues bien, esta metodología de pago, está al alza en los últimos años, pero genera cierta desconfianza en el público si no se muestran varias alternativas para realizar dicho pago. El método que más se suele utilizar es PayPal, que tiene reputación mundial por su protección al comprador y este no sentirá ningún temor a la hora de realizar su compra, pues está protegido por la empresa. Aunque PayPal cobre a sus clientes (empresas) por sus servicios, esto a la larga sale rentable. También podemos hacer el pago a través de la pasarela del banco (hay empresas que tienen su propia pasarela) haciendo que perceptiblemente sea más seguro para el cliente.

Dejar que los clientes se expresen: cuando un cliente adquiere un producto y nos deja una reseña estamos confirmando el grado de satisfacción que ha provocado el servicio/producto que se ofrece y así también poder comprobar que no se trató de un comprador fraudulento. Gracias a las compras verificadas nos aseguramos que fue el propio cliente quien adquirió el producto y no otra persona en su nombre, con el objetivo de aprovecharse de nuestra empresa y de los recursos del cliente.

Mantenimientos periódicos de nuestra web: La forma en la que hacemos mantenimientos periódicos es muy importante. Se recomienda crear un apartado para el reporte de bugs y que posteriormente será analizado por el departamento que administre la web. Por un lado, es útil para corregir fallos y prevenir que delincuentes informáticos aprovechen los agujeros, pero por el otro, al cliente le dará una sensación de seguridad y podrá hacer una compra más fluida. Si la web empieza a fallar o pone algún impedimento para la compra el cliente no llegará al final del proceso.

Elementos de protección al iniciar sesión: cuando se inicia sesión en nuestra web es cuando se corre el riesgo de que un intruso se introduzca en la misma usando datos de clientes, como podrían ser el usuario, el correo y la contraseña. Para ello debemos implementar la tan famosa, verificación en dos pasos o el Captcha, ambos sistemas sirven para asegurarse de que quién está intentando acceder es una persona. Al ser un proceso realmente sencillo y amigable, el cliente no se verá en la situación de que le suponga un engorro o pesadez, lo verá como una intención por parte de la empresa de protegerle.

Conclusiones

Tener un e-commerce no solo implica invertir en seguridad para que nuestra empresa y clientes no corran ningún peligro. También hay que tener en cuenta la percepción del cliente para que confíe en nosotros y vuelva.

Tenemos que cuidar todos los detalles para que el proceso de compra sea seguro y agradable. Sino nuestro negocio puede tambalearse.