09/12/2019

Cómo proteger tu eCommerce de un ataque cibernético

A raíz de una experiencia reciente, en la que gracias a nuestros protocolos de seguridad pudimos detectar a tiempo un intento de ataque cibernético, algunos de nuestros clientes se han acercado para preguntarnos cómo pueden proteger sus eCommerce de una amenaza similar. Estas son las recomendaciones más destacadas.

¿Qué tipo de ataques cibernéticos puede sufrir un eCommerce?

Debido a lo común que puede ser el hacking y robo de data, cualquier empresa que tenga una tienda en línea debe preocuparse por garantizar la seguridad de su sitio web.
Afortunadamente, la ciberseguridad es un tema de cada vez mayor relevancia e interés para el eCommerce. Proteger tu data es tan importante como el diseño de tu sitio web, tu campaña de marketing o el stock de tus productos.

Si aún no te queda claro, piensa que vender a través de una página de internet sin protocolos de seguridad es como abrir una tienda sin un sistema de vigilancia o de alarmas. No suena muy prudente, ¿cierto?

¿Qué están buscando los ciberdelincuentes en mi sitio web? La moneda más valiosa del internet 2.0: data. Algunos de los tipos más frecuentes de ciberataques a este tipo de tiendas son:

Phishing o suplantación de identidad.
Distribución de malware.
Ataques DDos a través de nuestros servidores.

Ser víctima de un ataque no sólo afecta tu eCommerce en el corto plazo, sino que puede arruinar la credibilidad y prestigio de tu empresa.

Los ataques cibernéticos en Chile, después de la contingencia social del 2019

En noviembre de 2019, expertos en ciberseguridad advirtieron de un aumento en ataques cibernéticos después del inicio del conflicto social en nuestro país.
Esta situación se sumó a la tendencia arrastrada desde 2018:

“... en 2018, según estudios de la empresa internacional Kaspersky, dos de cada diez chilenos fueron víctimas de esta estafa, poniendo al país en el tercer puesto de América Latina y en el séptimo a nivel mundial.”

Cuidar nuestra data y la de nuestros clientes es una tarea de todos. Entonces, ¿cómo protegerte de un posible ataque?

1. Asegúrate que tu sitio corra bajo el protocolo HTTPS, para que tus compradores tengan un mínimo de encriptación en su conexión a tu tienda.

Este protocolo es una optimización del protocolo de páginas web original HTTP, creado en 1991 y que no proveía ningún cifrado de la información. Internet ha evolucionado mucho desde la web 1.0, por lo que el nuevo protocolo aporta medidas de seguridad y garantiza que la información no pueda ser cifrada por terceros.

Además, el protocolo HTTPS es fundamental para el posicionamiento de tu sitio web en buscadores. A partir del 2018, Google penaliza sitios web que no cuenten con este protocolo.

2. Modifica las claves de acceso a tus administrador de canales de venta al menos cada 1 mes.

No está de más decirlo: cualquier persona con acceso a tus claves puede ser un potencial atacante, aún después de desvincularse de tu empresa. Siempre es bueno contar con contraseñas fuertes que, entre otras cosas, consideren:

Ser largas
Ser complejas
No ser de caracter personal
Ser prácticas
No ser la misma clave que usas para acceder a otro tipo de servicios o sistemas.

También es importante cuidar el lugar donde almacenas tus passwords. Aunque pueda sorprenderte, uno de los errores más comunes es almacenar esta información tan delicada en carpetas llamadas "contraseñas" o "passwords".

En este artículo de Security in a Box encuentras otros consejos para fortalecer tus claves de acceso.

3. Filtra los correos que recibes y verifica si viene un link en el correo que sea de un sitio seguro y al menos reconocido.

No abras un link desde un correo electrónico a menos que estés seguro del remitente que lo envía. Los bancos u otras entidades financieras son muy atractivas para este tipo de engaños. Por favor: verifica que el link dirija a una página segura.

4. No revises las ventas de su tienda en redes públicas o WEP.

En general, no es recomendable acceder a Wifi públicos, como en cafés o plazas. Asegúrate de ser el único conectado a esa red, para que no intervengan tu tráfico de internet. De igual forma, establece el mismo protocolo entre tus colaboradores para que no accedan a las ventas de tu eCommerce fuera de la oficina y otros lugares de trabajo.

5. Incluye verificación de dos pasos en tu canal de venta para el inicio de sesión por parte de tus compradores.

Tu eCommerce tiene una enorme responsabilidad con la data de tus clientes, pero es importante que esa responsabilidad sea compartida. Un sistema de verificación de dos pasos impide que un tercero con acceso a las contraseñas pueda iniciar una sesión sin consentimiento.

6. Aplica roles y perfiles a los usuarios de administración de tu tienda.

Así evitas que todos compartan una única contraseña y mantienes control sobre lo que pueden o no pueden hacer con la información de tus ventas.

No todos tus colaboradores tienen el mismo rol y necesitan acceder a la misma información. Elige cuidadosamente quién puede ver, editar o administrar la información y configuración de tu tienda en línea.

Cómo detectar un ataque cibernético en tu eCommerce

Muchas veces los ataques pasan completamente desapercibidos y sólo después de meses las compañías atacadas logran detectar una brecha de seguridad en sus sistemas. Aquí algunos tips para poder detectar un ataque :
1. Tener un tráfico inusual en tu web desde una o varias IP’s por segundo podría ser indicio de un ataque de denegación de servicio o DDoS
2. Creación, eliminación o edición de datos sensibles para la compañía
3. Rendimiento inusual de tu sistema
4. Nuevos usuarios no reconocidos por el administración del sistema

¿Quién es el responsable de la seguridad de tu eCommerce?

Estos consejos son válidos para tiendas en línea de cualquier tamaño o volumen de ventas. Aunque la gran mayoría de las plataformas de eCommerce, como VTEX, Prestashop, Shopify o Woocomerce son proveedores seguros, no debes confiarte: cualquier esfuerzo extra que realices para proteger tu seguridad podrá prevenir un posible delito que te afecte a ti y a tus compradores. Infórmate, investiga y difunde la cultura de la ciberseguridad.

Si te gustaría saber más sobre este tema, no dudes en preguntarnos. En Shipit estamos abiertos a compartir nuestros conocimientos para ayudar a cuidarnos entre todos.