Tiendas Online

Seguridad en entornos de e-commerce (tiendas online)

(1 votos, promedio: 5,00 de 5)

Cargando...

Uno de los principales problemas que se presentan a la hora de desarrollar y conceptualizar una aplicación para e-commerce es la seguridad, no solo de los datos de propiedad de la empresa sino de los datos personales y económicos introducidos por nuestros clientes.

Cada día se realizan ataques de diferentes tipos a numerosos portales, prevenir esto en nuestra tienda online es una prioridad ineludible. Recuerde, que es responsabilidad de la empresa la protección de todos los datos que los clientes inserten en nuestro sitio.

En este artículo daremos algunos conceptos importantes y analizaremos algunas de las principales técnicas utilizadas por los atacantes así como nuestra posición y las medidas que debemos tomar antes éstas.

Pilares de la seguridad electrónica (e-security)

Unos de los aspectos más importantes que debemos conocer, son cuales son los principales pilares de la seguridad digital, con el fin de protegerlos y aplicarlos en nuestros sistemas.

Confidencialidad en las tiendas online

Es la característica que asegura la protección de los datos de nuestros clientes, es decir, nadie que no esté autorizado debe tener acceso.

Las regulaciones sobre protección de datos son bien específicas en qué hacer y cómo hacerlo, por lo que recomendamos consulten las siguientes regulaciones:

El incumplimiento de alguna de estas leyes puede conllevar a una multa de hasta 60 000€.

Disponibilidad

Es la característica que asegura que siempre los datos estés disponibles para las personas autorizadas.

Integridad

Es la característica que asegura que el sistema siempre realice correctamente lo que se le pide y garantice que las acciones siempre la ejecute el personal autorizado.

Técnicas de ataques frecuentes en el e-commerce

Ingeniería social

Es la técnica de ataque más utilizada, y explota la buena fe y el desconocimiento de nuestros usuarios. Normalmente se contacta al cliente, haciéndose pasar como funcionario de nuestra empresa y se solicita usuario, contraseña e incluso datos bancarios. Esta técnica es basada fundamentalmente en el engaño siguiendo la máxima que el usuario es el eslabón más débil.

Para evitar esto, lo primero es que debemos aclarar a nuestros usuarios en qué momentos pudiera nuestra empresa comunicarse con ellos y aclarar que bajo ningún concepto se pedirán datos bancarios, personales o sus credenciales en nuestro sistema.

Phishing

Es otra técnica de ingeniería social, la cual normalmente se envía un correo con una comunicación “oficial” de alguna compañía importante o de confianza donde se pide que ingrese a su cuenta, normalmente se disfraza una página muy similar a la original y se esconde bajo ciertos subdominios o se enmascara, de esta forma el usuario confiando que es la original ingresa sus datos.

El Phishing además para el blanqueado del dinero genera una red de “mulas” (personas que sin saberlo blanquean el dinero del phishing), consiste en enviarle un correo a las personas haciéndose pasar como una pseudoempresa que necesitan “gestores” financieros cuya función es recibir dinero en sus cuentas bancarias y reenviarlos a otras cuentas financieras dadas por estas pseudoempresa, las personas que participan en esto sin saberlo están cometiendo un delito.

Pharming

Se utiliza normalmente combinada con el Phishing y consiste en alterar la configuración de DNS (Servidor de Nombres de Dominio, por sus siglas en inglés).

Cuando nos comunicamos con un sitio web, nuestro ordenador hace una petición al servidor DNS el cual le orienta a nuestro ordenador donde está la página solicitada, en este tipo de ataque, este servidor lo que hace es que aunque escribamos la dirección correcta nos envía al sitio del atacante donde nos encontraremos con interfaces iguales al sitio original por lo que es muy fácil confundirse y caer en la trampa.

Trashing

Normalmente anotamos en papel nuestras contraseñas para no olvidarlas, el transhing consiste en buscar estos papeles cuando los desechamos. Ocurre muy frecuentemente que cuando nos sabemos una contraseña pues el papel donde la teníamos anotada lo tiramos a la basura y en ese caso el atacante busca en la basura y lo encuentra. Es muy común en centros de trabajos o escuelas donde es usual este tipo de error. Incluso de han detectado casos de trashing lógicos, donde son analizados buffers de impresoras y soportes magnéticos en busca de estos datos.

Otras

Hay muchísimas otras técnicas de ataque no solo para el e-commerce sino también para la informática en general. Otros ejemplos son los bien conocidos malware y spyware, los cuales engloban un gran grupo de aplicaciones para la obtención de claves, contraseñas y el establecer el control del ordenador

Soluciones

El eslabón más débil de la cadena es nuestro cliente, por lo que es importante mantenerlos informados de éstas técnicas de ataque, además de implementar nuestras propias técnicas y protocolos para evitar esto. Entre las principales medidas que podemos tomar como desarrolladores están:

Debemos garantizar que los clientes a la hora de registrarse en nuestro sistema aporten contraseñas seguras (para ser consideradas seguras deben tener un mínimo de 8 caracteres e incluir letras mayúsculas, números y símbolos).
Informar a nuestros usuarios nuestras políticas de seguridad y protección de datos.
Informar a nuestros clientes en que condiciones nos comunicaremos con él. Por ejemplo, luego de una compra informarle si recibirán un e-mail nuestro u otros detalles, de esta forma el cliente si recibe un correo no informado podrá sospechar.
Nunca debemos solicitar datos bancarios por e-mail u otros sistemas, incluso es importante el uso de pasarelas de pagos seguras.
Garantizar la protección física de nuestros servidores.
Proteger nuestros servidores de ataques de DoS e Inyección SQL.
Garantizar la encriptación en el lado de nuestro cliente de datos sensibles.
Usar SSL en las comunicaciones donde se intercambia información sensible.
Promover el uso de programas antivirus en nuestros clientes.
Garantizar el uso de algún Certificado Digital que nos represente.

En este artículo analizamos algunos de los conceptos principales en el tema de la seguridad informática, así como vimos algunos de los ataques más frecuentes a nuestros clientes y posibles soluciones. Recomendamos además consulte 2 artículos sobre seguridad publicados anteriormente en nuestro portal:

La seguridad también es un tema de los diseñadores de páginas web (primera parte)

La seguridad también es un tema de los diseñadores de páginas web (segunda parte)

Relacionados

Cómo ganar dinero en Internet

Algunos consejos para empezar a ganar dinero en Internet basados en las conferencias de congreso de Webmasters.

Introducción al Comercio Electrónico II

En esta segunda parte de la introducción al Comercio Electrónico, seguimos sentando las bases para que puedas entender este negocio e incluso cómo hacer uno propio.

Solucionar error 500 en PrestaShop 1.7

El error 500 es un problema común en las tiendas online. Te explicamos cómo poder atender este tipo de errores y corregirlos a tiempo en tu tienda online elaborada con Prestashop.

4 respuestas

Andrés dice:

24 mayo, 2017 a las 16:16

Hola, saludos!
Buena y gracias por su información.
Pero como consigo o vendo frecuentemente mis productos?

Responder
Victor dice:

18 mayo, 2012 a las 19:17

Muy buena información, gracias por compartir su experiencia, no tenia considerado algunos puntos pero ahora está más claro.

Responder
CopiRed dice:

3 diciembre, 2011 a las 20:02

Estos consejos son muy importantes y hay tener presente cualquier tipo de amenaza que pueda afectar no solo nuestro sitio web sino también nuestros asuntos personales.

Responder
DiseñoWebZ dice:

29 octubre, 2011 a las 18:48

¡Amigos de laWebera!

Sin duda, las recomendaciones que se ofrecen en este post son de gran interes y hay que tenerlas muy presentes. Pese a eso, también quiero un pequeño aporte. A mi parecer, la intrusión mediante medios tecnologicos es cada vez más dificil (Cada dia es más dificil ser un verdadero Hacker).
Sin duda, para compensar la mejora computacional de la seguridad, muchos usan la Igenieria Social como arma.
La evolución esta clara, lean, compren libros sobre seguridad informtica… la ingenieria social (engaño, manipulación, suplantación de identidad) es uno de los mayores peligros! ¡Son los nuevos Hackers!

¡Un fuerte abrazo!

Responder

Deja una respuesta Cancelar la respuesta

Consulta la información básica sobre protección de datos aquí

Responsable: Verónica Milán Gómez
Finalidad: gestionar los comentarios que realizas en esta web.
Legitimación: Consentimiento del interesado.
Destinatarios: Hosting: Cyberneticos Hosting, S.L. Con domicilio en UE. Mi hosting es 100% español y 100% seguro
Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en admin@lawebera.es así como el derecho a presentar una reclamación ante una autoridad de control.
Información adicional: En la política de privacidad de LaWebera.es encontrarás información adicional sobre la recopilación y el uso de su información personal por parte de Verónica Milán Gómez, incluida información sobre acceso, conservación, rectificación, eliminación, seguridad y otros temas.
Los comentarios de esta web no tienen caracter legal ni oficial. Hacemos lo mejor por el usuario y por dar información fidedigna, pero no somos infalibles. Si decides seguir los consejos vertidos en esta web, es bajo tu única responsabilidad.

Cookie	Duración	Descripción
__cf_bm	30 minutes	This cookie is set by CloudFlare. The cookie is used to support Cloudflare Bot Management.
AWSALBCORS	7 days	This cookie is used for load balancing services provded by Amazon inorder to optimize the user experience. Amazon has updated the ALB and CLB so that customers can continue to use the CORS request with stickness.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non-necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
__gpi	1 year 24 days	No description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_863002_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
CONSENT	16 years 4 months 8 days 7 hours	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.
DSID	1 hour	This cookie is setup by doubleclick.net. This cookie is used by Google to make advertising more engaging to users and are stored under doubleclick.net. It contains an encrypted unique ID.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.
yt.innertube::nextId	never	These cookies are set via embedded youtube-videos.
yt.innertube::requests	never	These cookies are set via embedded youtube-videos.