Claves para la seguridad de una web de eCommerce

Imagínese que fuese el encargado de una tienda ubicada en un centro comercial. ¿Con qué medidas de seguridad básicas contaría? 

Probablemente dispondría de puertas con cerrojos, cámaras de circuito cerrado, sistemas de alarma, etc. Se trata, en su mayoría, de dispositivos de seguridad visibles cuyo funcionamiento es conocido por todos.

Pero… ¿qué sucede cuando, en lugar de una tienda física, su responsabilidad consiste en gestionar un negocio de venta online? En este caso, ya no tiene que enfrentarse a la amenaza de los ladrones tradicionales, sino a la de hackers –probablemente experimentados – que cuentan con ventaja por su conocimiento de las debilidades de las tiendas electrónicas y que buscan constantemente vulnerabilidades que aprovechar.

Sin embargo, estos distan mucho del típico ladronzuelo cuyo objetivo es llevarse unos pocos artículos para venderlos en el mercado negro local.

Los hackers persiguen un activo mucho más valioso: los datos, y ya se trate de las tarjetas de crédito o los documentos de identidad de sus clientes, su tienda de comercio electrónico y su negocio se encontrarán en peligro a menos que adopte las acciones necesarias para protegerlos.

Esta es precisamente la razón por la que hemos elaborado unos sencillos consejos que le ayudarán a proteger su sitio de comercio electrónico y su negocio.

Elija un proveedor de hosting especializado en comercio electrónico

Probablemente, habrá realizado una importante inversión en su página web. Diseñar, desarrollar, optimizar y promocionar un sitio de este tipo supone un coste económico importante, y debe preguntarse hasta qué punto es conveniente arriesgar toda esta inversión optando por un servicio de alojamiento web de bajo coste.

Aunque lo cierto es que actualmente la oferta de servicios de hosting es enorme, es necesario huir de la tentación de contratar planes de alojamiento extremadamente baratos, ya que, con frecuencia, lo que ofrecen en realidad es un falso ahorro.

Hacerlo sería como construir un coche de carreras y equiparlo con ruedas de bicicleta.

Si aloja su sitio en un servicio de hosting compartido con cientos de miles de usuarios, es probable que acabe teniendo la sensación de estar en un ‘vecindario ruidoso’, y a nadie le gusta vivir en un sitio así. Se trata de entornos rudos y antisociales que tienden a degradar el estatus de sus ‘habitantes’.

Si su tienda se aloja en uno de estos servidores tipo ‘buffet libre’, ¿qué garantías tiene de que el proveedor está invirtiendo en seguridad? Realmente pocas, y además existe una alta probabilidad de que la dirección IP de su servidor se incluya constantemente en listas negras.

Por tanto, la mejor opción para los minoristas de comercio electrónico serios y sensatos es probablemente contar con un servidor privado virtual, que combina un rendimiento excelente y ampliable con un coste razonable y magníficas opciones de personalización de la seguridad.

Aunque configurar la seguridad de su servidor es una tarea bastante sencilla, si no puede asumirla usted mismo, siempre puede recurrir a un proveedor de hosting de renombre y optar por un servicio de servidor gestionado.

Migre a HTTPS

Hasta hace muy poco, utilizar un alojamiento seguro HTTPS junto con un certificado SSL era, por lo general, una combinación reservada para el área de pago de los sitios. Aunque, naturalmente, este sigue siendo el caso de muchas páginas, es cada vez más frecuente que sus propietarios pasen a proteger la totalidad de sus sitios web..

Un hecho determinante para el comienzo de esta tendencia fue que Google declarase en 2014 su intención de redoblar sus esfuerzos en materia de seguridad e incluir el HTTPS como factor de posicionamiento. Otro acontecimiento que contribuyó a esta migración fue la noticia de que los navegadores iban a comenzar a penalizar a los sitios basados en el protocolo HTTP. De hecho, Google anunció recientemente sus planes a largo plazo de marcar todos los sitos HTTP como ‘no seguros’, y Mozilla manifestó una posición similar allá por 2015.

Si desea migrar su sitio al protocolo HTTPS, deberá elegir en primer lugar un certificado SSL. Puede adquirir dicho certificado a través de su empresa de hosting o acudir a un proveedor SSL de renombre.

Aunque lo habitual es que le ayude a instalar el certificado SSL, después tendrá que realizar una serie de acciones para migrar su sitio al protocolo HTTPS, como actualizar los vínculos internos del sitio, establecer hasta 301 redireccionamientos, actualizar los vínculos de los correos electrónicos de las transacciones, etc.

En términos generales, el uso de un certificado SSL es hoy en día el precio básico de entrada en materia de seguridad en Internet, y todo parece indicar que será incluso más importante cuando los navegadores comiencen a penalizar los sitios HTTP.

Elija una plataforma segura y manténgala protegida

En la actualidad, la oferta de plataformas de comercio electrónico es muy amplia. Es importante garantizar que la plataforma de comercio electrónico elegida no solo funciona como usted desea, sino que cuenta con una buena reputación en materia de seguridad y se actualiza regularmente.

Herramientas como Magento, WooCommerce y PrestaShop constituyen plataformas de comercio electrónico muy populares. Sin embargo, su popularidad pasa factura. Los hackers buscan constantemente vulnerabilidades en estas herramientas, por lo que los desarrolladores no dejan de lanzar parches y actualizaciones de seguridad.

La clave radica en no presuponer que una vez que el sitio está disponible en Internet, ya no es necesario mantenerlo ni actualizarlo, o que estas tareas son responsabilidad del desarrollador, el diseñador o la empresa de hosting.

En última instancia, usted es el responsable de la seguridad. Aunque no tenga conocimientos técnicos, debe garantizar que alguien de su equipo, ya sea a nivel interno o a través de un proveedor o socio, vela por su seguridad.

No olvide visitar el sitio web del fabricante de su software para estar al día de las actualizaciones y compruebe con su experto en seguridad que estas se han implantado en su sitio.

Muchos estarán de acuerdo en que la mejor opción es usar una aplicación de seguridad para comercios electrónicos integral que, además de protegerle frente a las vulnerabilidades más comunes, comprobará el sitio del proveedor para garantizar que se está ejecutando la versión más actualizada.

Proteja su área de administración

Una de las formas más sencillas y económicas para mejorar la seguridad de su sitio web es proteger su área de administración.

Si utiliza una plataforma de comercio electrónico como Magento o WooCommerce (basadas en WordPress), contará con un área de administración predeterminada. Simplemente modificando este aspecto evitará los ataques de hackers más directos que buscan víctimas fáciles.

Un punto muy importante es cambiar el nombre de usuario del administrador predeterminado. Los hackers buscan objetivos sencillos. Si utiliza un nombre de usuario predeterminado, tal como ‘admin’, será una presa fácil. Asegúrese de que sus credenciales de inicio de sesión son originales y difíciles de descifrar.

También puede restringir el acceso al área de administración estableciendo una lista de direcciones IP con privilegios de acceso que supervise el administrador del servidor y que permita el acceso al área de administración únicamente a direcciones IP conocidas.

Por último, puede configurar su área de administración de forma que notifique al administrador cada vez que se supere un umbral específico, como un número determinado de intentos de inicio de sesión fallidos o intentos de acceso con direcciones IP desconocidas.

Se trata de acciones sorprendentemente sencillas y económicas pero muy eficaces.

Realice copias de seguridad regulares de sus datos

¡Imagínese despertar y descubrir que su sitio ha sido hackeado!

Debe ser la peor forma de comenzar un día.

Pero, imagínese cómo se sentiría si no contase con una copia de seguridad. La cosa no hace más que complicarse.

Recuerde que puede perder los datos por un fallo de hardware o por un simple error humano (estas cosas pasan).

La realidad es que nunca tomará demasiadas precauciones a la hora de realizar copias de seguridad de sus datos. Y recuerde: USTED es el responsable.

No presuponga que es tarea de su empresa de hosting o su diseñador web. Sus datos son su propiedad y, por tanto, su responsabilidad.

Aunque existen métodos manuales para realizar copias de seguridad de sus datos, el peligro es olvidarse o perder el hábito de hacerlo regularmente y acabar con una copia de seguridad de hace dos o tres meses, que no sirve para mucho.

La mejor solución es un servicio de copia de seguridad automático del que se pueda olvidar una vez configurado. Esto le permitirá descansar sabiendo que sus datos están almacenados, protegidos y actualizados.

Nunca conserve los datos de las tarjetas de sus clientes

Algunas plataformas de comercio electrónico permiten aceptar los datos de la tarjeta de sus clientes y almacenarlos. Esto es algo que NUNCA debería hacer.

Además, constituye una mala práctica, que podría acarrearle cuantiosas multas en caso de intrusión en sus sistemas.

Lo ideal es utilizar los servicios de un proveedor de pasarela de pago y lograr que los pagos se realicen fuera de su sitio. Estos proveedores cuentan con los niveles de seguridad más altos para gestionar este tipo de datos sensibles.

Si está empezando su actividad y su presupuesto es ajustado, servicios como los de PayPal le permitirán comenzar a operar. Además, algunos clientes prefieren utilizar PayPal, por lo que es bueno ofrecerles esta opción.

Sin duda, también es una buena práctica tratar de conseguir la acreditación del Estándar de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS).

Para cumplir los requisitos de la norma PCI-DSS, su sitio web debe ser capaz de garantizar la integridad de los datos financieros de sus clientes y deberá implantar un control de acceso sólido en toda la web.

Utilice un software antifraude basado en la geolocalización

Los ataques de hackers no son un problema local, sino mundial.

Los intentos de usar los datos de tarjetas robadas pueden implicar el robo de una tarjeta en una parte del mundo para enviarla electrónicamente al otro extremo del planeta y utilizarla en actividades fraudulentas a través de Internet.

Además del hecho de que puede perder ingresos al enviar productos de pedidos falsos y comenzar a recibir recargos, lo ÚLTIMO que desea es ser identificado como una víctima fácil para los ciberdelincuentes.

Una forma de abordar este problema es emplear una herramienta antifraude basada en la geolocalización. Estas herramientas proporcionan puntuaciones relativas al grado de probabilidad de fraude en tiempo real que permiten al comercio determinar el nivel de riesgo de una transacción en particular.

El algoritmo analiza una serie de criterios relativos a la dirección IP el pedido y tiene en cuenta los métodos de encubrimiento más populares, como el uso de proxies, y los compara con su base de datos de miles de millones de transacciones para crear una puntuación de riesgo de fraude unificada.

En caso de sospecha, esta información le dará la oportunidad de reembolsar el dinero del pedido o realizar comprobaciones manuales adicionales.

Lo que me lleva a hablar del siguiente punto…

Cree políticas y procedimientos de seguridad manuales

No subestime la eficacia de los procedimientos manuales más sólidos.

Por ejemplo, retomemos el caso anterior en el que recibe un pedido con una puntuación de riesgo alta, pero a su parecer todo es correcto.

¿Qué debería usted o su equipo hacer? Podría a) fiarse de su intuición o b) realizar alguna investigación adicional.

La opción b) es la más recomendable. En este punto es donde entran en juego sus políticas y procedimientos de seguridad.

Aunque el simple hecho de pensar en procesos y procedimientos le haga bostezar, piense que puede ser tan sencillo como telefonear al cliente al número proporcionado. Si no logra contactar con él, puede enviarle un correo electrónico solicitándole uno o dos datos identificativos.

Se trata de encontrar la solución más adecuada para sus circunstancias.

Además, puede ampliar estas medidas a otros aspectos como las políticas en materia de contraseñas y la seguridad física, por ejemplo para los objetos o portátiles robados usados para acceder a sus sistemas.

Seguridad multicapa

Puesto que no existe una fórmula mágica capaz de proteger su sitio, lo ideal es implantar una serie de capas de seguridad.

Podría comenzar con un firewall. Puede optar por un firewall físico o un firewall de aplicación web, en función de su presupuesto. Como poco, estas soluciones ofrecen una primera línea de defensa frente a los ataques de hack más populares, como la inyección SQL o el XSS (cross-site scripting).

También puede reforzar su sitio usando una red de entrega de contenidos (CDN). Se trata de un conjunto de servidores repartidos en distintos puntos geográficos que almacenan copias de las páginas de su sitio web.

Una de las ventajas de seguridad del uso de una CDN es que ‘aprende’ a reconocer el tráfico malintencionado e impide que su sitio sufra daños.

Otra ventaja es que una CDN es capaz de evitar los ataques de denegación de servicio distribuido (DDoS).

Como alternativa, también puede evitar los DDoS en su servidor usando el software gratuito OpenSource.

Conclusión

Aunque la seguridad no es gratis, resulta más económica que sufrir ataques de hack.

En última instancia, no existe una única solución unificada capaz de proteger y asegurar los sitios de comercio electrónico.

La mejor solución es combinar el software y la plataforma de hosting adecuados y logra mantener el sistema actualizado y protegido.

En cualquier caso, prepárese para las malas noticias. No olvide realizar copias de seguridad automáticas de su sitio.

Considere implantar un enfoque por capas usando distintas herramientas y no olvide que los fiables procedimientos escritos son cruciales para mantener su sitio seguro y protegido.

Salir de la versión móvil