En la actualidad, todos estamos acostumbrados a realizar compras a través de internet, pero en el periodo navideño en el que nos encontramos éstas se incrementan. Debido a lo anterior, es importante que seamos conscientes de que cuando tenemos un negocio online (e-commerce) estamos expuestos a sufrir ataques y violaciones de seguridad mediante nuestros sistemas informáticos.
Actualmente, la figura del ciberdelincuente, entendido como: aquella persona experta en alguna rama tecnológica que accede a un sistema informático o a informaciones ubicadas en dicho sistema o en la red de comunicaciones, no es desconocida para nadie.
Si bien es cierto que existen muchos más delitos, ataques y violaciones informáticas a las que nuestro negocio online puede estar expuesto, en el presente artículo nos vamos a centrar en el denominado E-Skimming.
Pero ¿qué es el E-Skimming?
El objetivo de los ciberdelincuentes con esta técnica no es otro que conseguir información tanto bancaria como personal de tiendas online legítimas, de tal manera que una vez que consiguen dicha información pasarán o bien a venderla en el mercado negro, o bien a utilizarla en su propio beneficio.
¿Cómo se produce el E-Skimming?
Lo primero que necesitan los ciberdelincuentes es poder acceder a la tienda online, para lo cual se aprovechan de las propias vulnerabilidades del gestor de contenidos, como puede ser el no tener una contraseña lo suficientemente robusta o no contar con las últimas actualizaciones de los sistemas utilizados, o a través de las ya más que conocidas campañas phishing. Una vez que se ha conseguido tener acceso a la tienda online, realizan las modificaciones necesarias de tal manera que cuando el cliente final realiza una compra e introduce sus datos, estos se visualicen tanto por el banco, como por el ciberdelincuente.
Este tipo de técnica afecta tanto a los comercios online que tienen la pasarela de pago integrada en su tienda, como a los que trabajan a través de la pasarela de pago de un tercero. La diferencia principal es que, en el primero de los supuestos, la información personal y bancaria de los clientes es gestionada internamente por el responsable de la tienda online, en el segundo de los supuestos, aunque la información bancaria no es gestionada directamente por el responsable, los datos de carácter personal pueden ser robados igualmente.
¿Cómo podemos evitar o minimizar los riesgos de sufrir un ataque e-Skimming?
- Concienciación y formación: es realmente uno de los aspectos más importantes, dado que, si los usuarios/trabajadores tienen una buena base de conocimientos en seguridad de la información, la empresa tendrá menos probabilidades de sufrir un ataque informático. Por ejemplo, si a un empleado le llega un correo electrónico en apariencia lícito, pero que realmente es un ataque phishing, si el trabajador no conoce el ámbito de ataque, muy probablemente ejecute los archivos adjuntos y el dispositivo se infecte.
Por tanto, es altamente recomendable que todas las empresas dediquen tiempo a la formación en materia de ciberseguridad y protección de datos.
- Software actualizado: A medida que pasa el tiempo se detectan, por parte de los desarrolladores, fallos de seguridad, dichos fallos o vulnerabilidades pueden ser aprovechados por los ciberdelincuentes para acceder al sistema, para evitar esas situaciones, es necesario que la empresa tenga instaladas las últimas actualizaciones disponibles del software con el que trabaje.
- Credenciales de acceso robustas: En la mayoría de los casos, los sistemas de información son vulnerados porque se comprometen las credenciales de acceso de usuarios/trabajadores, esto es debido a que usuario y contraseña no son lo suficientemente seguros o robustos. Para evitar accesos indeseados, es necesario que tengamos establecido unas credenciales que sean seguras, de tal manera que los hackers no sean capaces de descifrar con un simple ataque de fuerza bruta (se produce cuando se prueban todas las combinaciones posibles hasta dar con la clave de acceso):
- Deben contener al menos ocho caracteres;
- Deben combinar caracteres de distinto tipo (mayúsculas, minúsculas, números y símbolos);
- No deben contener los siguientes tipos de palabras:
- palabras sencillas en cualquier idioma (palabras de diccionarios);
- nombres propios, fechas, lugares o datos de carácter personal;opalabras que estén formadas por caracteres próximos en el teclado;
- palabras excesivamente cortas.
- Tampoco utilizaremos claves formadas únicamente por elementos o palabras que puedan se públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento);
- Sistema de doble autenticación: El primer factor suele ser la contraseña, y el segundo un código generado por un dispositivo externo, como puede ser recibir un sms con una clave en el teléfono móvil del usuario.
- Segmentación de la red: esta técnica consiste en dividir la red en subredes, de tal manera que si un ciberdelincuente consigue tener acceso a la tienda online o al servidor que en el que ésta se aloja no pueda acceder a toda la red de la empresa. Aunque con este sistema no podremos evitar directamente que el e-Skimming nos afecte, sí que podremos evitar problemas en la seguridad de la empresa que pueden conllevar muchos riesgos, como por ejemplo el acceso a las subredes donde se encuentre toda la información interna de la propia empresa: datos de empleados, facturas, etc.
Como conclusión, y aceptando de base que el riesgo cero no existe, si aplicamos los consejos y recomendaciones analizados en el presente artículo, nuestro negocio online además de gozar de una buena salud en seguridad frente a los ataques externos ofrecerá un servicio de confianza a nuestros clientes y potenciales clientes.