Toda empresa debería dedicar tiempo y recursos a la seguridad de sus datos, pero en el caso de las tiendas online la ciberseguridad es, si cabe, todavía más sensible. Los e-commerce son uno de los objetivos más suculentos para los ciberataques y una tienda virtual que sea víctima de uno puede tener consecuencias muy negativas para el negocio.
Una de las repercusiones, por ejemplo, es la interrupción del servicio de venta y las pérdidas económicas que esto supone, y la reducción de prestigio hacia los usuarios que visen su sitio web. Un sitio web en el que los compradores facilitan información tan sensible como sus datos de contacto y bancarios.
Los ciberataques a los sitios web consisten en aprovechar cuando el sistema es quebrantable o lo son las barreras y cortafuegos de seguridad del hosting. Los hackers pueden desde hacer caer el sistema hasta robar datos personales de los usuarios. Los ataques que puede recibir un sitio web son muy similares a los que afectan a las empresas en general, pero con ciertas particularidades.
Tipos de ciberataques a tienda online
Atacar una tienda virtual es uno de los objetivos favoritos de los delincuentes cibernéticos. Por eso es importante conocer los tipos de ciberataques a e-commerce y con qué finalidad se realizan cada uno de ellos:
DoS (Denegación de Servicio): Los ciberatacantes generan peticiones al servidor de forma masiva para saturarlo, ralentizarlo y/o que quede inoperativo. Esto puede llegar a provocar grandes daños económicos y funcionales a la empresa.
Fraude directo: La fuente de riesgo más común en los e-commerce, consiste en utilizar tarjetas de crédito robadas. Es especialmente delicado para comercios que ofrecen servicios entregados inmediatamente y en los que no hay margen de detección del fraude.
Ransomware: Como cualquier ataque de secuestro de datos, el ciberataque se basa en la encriptación de la información (textos, archivos, imágenes, bases de datos) para que el propietario no tenga acceso. A cambio de devolver la situación a la normalidad, el delincuente solicita una recompensa económica.
Inyecciones de código o SQL: Los ataques por inyección de código se caracterizan por la inserción en la estructura web: modificar valores o ficheros que conformen la tienda virtual con la finalidad de denegar el acceso o robar información. Por otro lado, la inyección de SQL consiste en manipular la base de datos del e-commerce para poder ejecutar órdenes en ella sin tener datos de acceso.
Cross-Site scripting: Los hackers utilizan scripts con código malicioso que se coloca entre el cliente y el servidor para arrebatarles datos de acceso e información personal.
Medidas para proteger la tienda online
La base de la seguridad web es que la tienda online esté construida y estructurada de forma sólida, con una programación web profesional y robusta. Es importante que el sitio web esté siempre actualizado y controlado, especialmente el sistema de gestión de contenido (CSM) desde donde se haya construido la tienda virtual.
Es importante que las actualizaciones se vayan sucediendo con frecuencia (siempre comprobando los problemas de compatibilidad que puedan surgir con temas o plugin), puesto que acostumbran a incluir mejoras en seguridad, eliminación de vulneraciones conocidas e implantación de código seguro.
Aplicar un sistema de copias de seguridad a nivel empresarial es muy importante. La mayoría de los proveedores de infraestructura no ofrecen servicios de backup. Sin embargo, OnWork proporciona servicios de copias de seguridad en la nube, un aspecto básico para la seguridad del e-commerce.
Para garantizar que la tienda virtual esté siempre operativa también es importante tener en cuenta backups no sólo de la máquina, sino de los archivos. Existen copias de seguridad como la de Office 365, capaces de recuperar los datos de Microsoft Exchange Online y SharePoint Online, tenerlos accesibles para poderla recuperarlos en todo momento.
En cuanto a las inyecciones de código y DoS, es posible evitarlo añadiendo sistemas que controlen el acceso del tráfico web como cortafuegos (WAF, Web App Firewall). Este gestiona las transacciones del servidor e impide este tipo de ataques. Otra posibilidad es utilizar una red de servidores a nivel mundial (CDN como Amazon Cloudfront, Cloudlfare, etc.) para evitar ataques que ralenticen y acaben impidiendo el acceso a la tienda online.
En conclusión, el comercio electrónico sigue imparable en su ascenso y tener una tienda online está a la orden del día, existiendo infinidad de tipos de e-commerce. Un sector lleno de oportunidades en las que miles de personas se han lanzado. Sin embargo, es necesario tener en cuenta las alarmas o las cajas fuertes, como lo tendríamos en un comercio tradicional… La seguridad en las tiendas virtuales funciona de forma muy diferente, pero debe ser tenida en cuenta como necesaria y fundamental.