Seguridad e-commerce: como protegerse y prevenir los ataques

Los ciudadanos hoy son más digitales que nunca. La tecnología está al alcance de la mano y a través de ella cualquier necesidad puede ser suplida. El uso de dispositivos móviles es cada vez más frecuente y las redes son más rápidas. En este contexto el comercio electrónico se ha fortalecido y han surgido grandes oportunidades para que los comerciantes de todas las ramas puedan hacer negocios en la web y los consumidores puedan adquirir nuevos servicios y productos.

Una de las causas que frena el desarrollo del comercio electrónico son los problemas de seguridad que aparecen atados al mismo. En los últimos años las empresas han empezado a promocionar opciones de facturación electrónica (e-factura) y de “carrito de compras”, impulsándolos como formas para ahorrar tiempo y costos.

Pese al desarrollo de la tecnología en materia de e-commerce, la inseguridad y la falta de confianza que se generan en el consumidor final abren una gran brecha entre el manejo de los datos personales y financieros, y la calidad y destino que tenga el producto o servicio adquirido.

Dos de las mayores amenazas a las que está expuesto el e-commerce, m-commerce y hasta el tv-commerce son el 'Phishing' y el 'Spam', los cuales generalmente buscan conseguir información confidencial de forma fraudulenta (contraseñas, datos de cuentas personales, suscripciones, correos electrónicos, códigos PIN, etc.).

Un clásico ejemplo de estos fraudes informáticos se presenta cuando el usuario recibe un correo electrónico que en apariencia proviene de su banco, en el cual se le pide que inicie sesión en una plataforma amigable y 'segura' (que a su vez parece provenir de la misma entidad) a la cual ingresa, usando sus identificación, contraseñas, información bancaria, etc. En este punto, los delincuentes ya tienen acceso a la información y la posibilidad que el cliente sea víctima de un delito aumenta.

Es importante recordar que ninguna entidad financiera solicita confirmación de datos a través de correos electrónicos o similares, bajo ninguna circunstancia.

Por todo lo anterior, es normal que como usuarios nos preguntemos antes de realizar una transacción online, si la empresa que ofrece el producto o servicio corresponde realmente a una organización confiable o si nuestra información está en riesgo. ¿Es cierto que el que está detrás de esa web es quien dice ser?, ¿qué hacen con la información personal y financiera que les facilito?

Lo primero que debemos tener claro, es que en los procesos de e-commerce fraudulentos existen cuatro actores implícitos:

1.  El comprador que usa su navegador para localizar el sitio de compra y el producto.
2. El sitio web que es gestionado por un usuario, el cual llamaremos comerciante.
3. A su vez, el comerciante contrata servicios de terceros para llevar a cabo una limpia y segura transacción, quien es conocido como proveedor.
4. El atacante es el último jugador en acción, cuyo objetivo es explotar los otros tres en el campo, para obtener beneficios de forma ilegítima.

A partir de lo anterior, encontramos que existen varios métodos de 'ataque' que podrían hacer vulnerable nuestras transacciones.

1. Engañar al comprador. También conocida como la técnica de ingeniería social en la cual está implícita una vigilancia al comportamiento del comprador. Un escenario común es el de registro de usuarios y contraseñas en sitios de mayor interés especialmente bancos, redes sociales y portales como e-bay o mercadolibre.
2. Espiar el ordenador del comprador. Millones de computadoras se enlazan a internet cada mes y los conocimientos de los usuarios sobre vulnerabilidades suelen ser muy escasos. Las empresas proveedoras de software y hardware en su afán por garantizar que sus productos sean fáciles de instalar, desactivan sus funciones de seguridad haciéndolos vulnerables. Esos vacíos son aprovechados por los atacantes, quienes con ciertas técnicas de escaneo de puertos detectan los puntos de entrada al computador, accediendo así al sistema operativo, y a la información personal y financiera del usuario.
3. Fisgonear la red. En este esquema, el atacante controla los datos entre el ordenador del comprador y el servidor, interceptando los paquetes de datos que van de un servidor a otro, usando un software criptográfico para descifrarlos, permitiendo al atacante tener acceso a los datos que circulan online.

Sabiendo lo anterior, tenemos un punto de partida para hacer nuestras transacciones virtuales de una forma segura y sin riesgos, siguiendo unas sencillas recomendaciones:

• Tenga en cuenta que los portales o las páginas en las que se va a realizar alguna transacción deben tener instalado un certificado digital SSL, gracias al cual tenemos certeza de estar en el sitio ‘oficial’ de la entidad. Esto lo sabremos porque al entrar al sitio veremos que la dirección URL del sitio cambiará  de http:// a https:// (se añadirá una “s” al protocolo que utiliza el cifrado SSL). 
• Sospeche siempre de cualquier correo electrónico con solicitudes urgentes de información financiera personal. Evítelos por completo y en caso de tener dudas comuníquese con los canales oficiales de su entidad bancaria, antes de registrar cualquier dato en otro lugar.
• Procure que su contraseña, aparte de letras y números, contenga caracteres especiales (*, ¿, &, etc.), los cuales dificultan el trabajo de los delincuentes informáticos.
• Cuando conecte su equipo a una red asegúrese tener activado el “Firewall”, con esto reduce posibles vacíos de seguridad.
• No se puede estar seguro de que un correo electrónico con contenidos financieros sea verídico a menos que cuente con una firma digital (sistema encriptado de registro de la identidad del emisor del contenido electrónico). Los phisher suelen incluir contenidos tentadores o inquietantes (pero falsos) en sus correos para que el usuario acceda de inmediato.
• No utilice los enlaces o links incluidos en un mensaje de correo electrónico o en el chat para ir a cualquier sitio web. Si sospecha que no es un link auténtico, ni reconoce al remitente evite dar clic y póngase en contacto con la entidad remitente.
• Evite diligenciar formularios de encuestas o suscripciones.
• Adquiera el hábito de revisar la dirección URL. Los sitios de transacciones electrónicas mantienen visible su nombre dentro de su URL para garantizar la seguridad; lea siempre a dónde se está dirigiendo su información y en caso de dudas cancele la transacción que esté realizando.
• Considere la instalación de un navegador web con barra de herramientas que ayude a proteger la información de los sitios fraudulentos. Internet Explorer y Mozilla Firefox cuentan con estas herramientas.
•  Inicie sesión regularmente con sus cuentas en línea. Asegúrese de no dejar habilitado en su navegador la opción de “recordar contraseña” por defecto. Cualquiera podría tener acceso a los datos y poner en riesgo su información.
• Asegúrese que su navegador web esté actualizado para contar con los nuevos sistemas de seguridad.

Como resumen les dejo una entrevista, en un programa nacional (Banda 3.0), para proteger datos personales. 

Informa sobre enlaces engañosos, engaños mediante ingeniería social, robo de contraseñas, phising, diferencia entre hacker y los crackers y demás.

¿Como protegerce de ataques informáticos?