Harvard Deusto - Asegurando el e-commerce vulnerabilidades y retos

[pic 1]

DOSSIER

CIBERSEGURIDAD: DESAFÍOS DESDE  EL MÁRKETING

ASEGURANDO

EL ‘E-COMMERCE’:

vulnerabilidades y retos

Cuentas falsas, correos de un solo uso, datos fraudulentos con intención de impago, suplantación de identidad… son solo algunas de las muchas ciberamenazas a las que se enfrentan los

‘e-commerce’ de manera cada vez más habitual. En este artículo, se exponen las principales vulnerabilidades que afectan al sector y cómo responder ante los distintos escenarios prácticos que se han producido en los últimos tiempos y los que están por  llegar[pic 2]

José Luis Narbona

Profesor asociado del área de Ingeniería Telemática de la

Universidad de Alcalá (UAH). Presidente de la Asociación Nacional de Ciberseguridad (ANCITE). Formador de Análisis Forense Informático en Cybersecurity Summer BootCamp (INCIBE)

E

[pic 3][pic 4][pic 5]l 5 de julio de 1994, Jeff Bezos creaba

la que actualmente es unade las ma- yores empresas de comercio electró- nico del mundo: Amazon. Por aque- llos años, distintos informes auguraban  un importante creci- miento del comercio a través de la web en las siguientes décadas. En

España, eran pocos aún los que en esa época

utilizaban Internet y creaban sus primeras pá- ginas en plataformas como GeoCities.com. Sin duda, eran tiempos en los que acceder a la in- formación y crear servicios en la red se hacía máscomplicado. Peroloqueestabacomenzan- do entonces era un nuevo modelo de relación entre personas y entre empresas a to-

[pic 6][pic 7][pic 8]

[pic 9]Este documento está autorizado para el uso exclusivo de bibliotecavirtual@upn.edu.pe. https://www.harvard-deusto.com

Copiarlo o publicarlo es una infracción de los derechos de autor. Para cualquier consulta contacta con info@harvard-deusto.com.

 doslosniveles, unnuevoparadigmaen el que el comercio electrónico se erigía como uno de los servicios de uso masivo más espera- dos,comosehademostradoenlosúltimosaños.

Ennuestropaís, lasempresasfueronreticen- tes a venderporInternetal igual que hace vein- te años lo fueron con la “novedad” de tener una página web. Hasta prácticamente el año 2000 existían pocos e-commerce en España. De he- cho, laprimerainiciativareal de comercio elec- trónico móvil, donde tuve la oportunidad de participar, fue un proyecto conjunto entre una empresa, Submarino.com, quevendíalibrospor Internet, y otra, MyAlert, especializada encon- tenidos y servicios móviles. En esa época, la se- guridad de estos servicios no era crítica, preci- samenteporqueel usodel comercio electrónico era ínfimo, pero incluso en esos momentos ya seproducíanincidentesdeseguridadqueapro- vechaban vulnerabilidades.

Hoy en día, cualquier persona y/o empresa puede crear fácilmente su tienda online y ven-

der a todo el mundo, con una instalación y cos- te muy reducidossi se comparaconel comercio “tradicional”. A pesarde ello, lamayorempresa de retail de moda de nuestro país, Inditex, no empezó a vender por Internethasta 2010. Real- mente, fue el paso dado por este “gigante” de la distribución de moda lo que inició un período de uso intensivo del comercio electrónico. Y, junto a estas primeras empresas, los especia- listas en ciberseguridad llevan más de una dé- cada incidiendo también en la necesidad de implementar medidas que garanticen la segu- ridad del e-commerce. Según el estudio Pano- ramaactual de laciberseguridadenEspaña, de The Cocktail Analysis, el coste medio de un ci- berataque para una pyme es de 35.000 euros, pero los datos que más llaman la atención son que el 83% de las empresas españolas consul- tadas afirma no tener conocimiento de haber sufrido un incidente de seguridad y que tan so- lo el 36% de ellas tiene establecidos protocolos básicos de seguridad.

[pic 10][pic 11][pic 12]

[pic 13][pic 14][pic 15]¿QUIÉN SE HA COMIDO MI QUESO?

Los ciberataques  crecen cada año de manera exponencial sobre las tiendas en Internet, pre- cisamente, porlos valiosos datos de los clientes que se almacenan en ellas. La prevención de estas fugas de información, que, en la mayoría de los casos, tienen un objetivo económico, es fundamental. El e-commerce ha de asumir el reto e implantar estrategias para gestionar los riesgos y prevenir el fraude con el objetivo de garantizar las transacciones, así como la con- fidencialidad de los datos de clientes, pedidos y proveedores. Y este “asumir el reto” pasa por que el comercio online se anticipe alos inciden- tes, para lo cual lo primero es tener claro a qué riesgos y vulnerabilidades se enfrenta:

Dinero, dinero y dinero: fraude económico.Sinduda,unodelosmayores factores de riesgo encualquiertransacciónon- line es la posibilidad de que se produzca un fraude económico que pueda afectar a una o varias etapas del proceso. Existen variantes de este primerfactorde riesgo que procedentanto de usuarios malintencionados (clientes) como de ciberdelicuentes que pretenden obtener un réditoeconómicoexplotandoalgunadelasvul- nerabilidades de los sistemas del e-commerce:

1

▶ Por parte de clientes. Fraudes muy habitualesenestesectorsedanconlasentregas no certificadas de productos y con las devolu- ciones. Enel primercaso, losclientes, trashaber recogido su pedido, reclaman la devolución del dinero indicando que no lo han recibido, argu- mentando que dicho pedido no se haentregado por envío certificado y que, por tanto, no se ha podido garantizar la entrega. No obstante, en los últimos tiempos, este tipo de fraude se ha reducido notablemente, ya que llegó a ser tan común que muchos e-commerce se vieron obli- gados a eliminar la opción “barata” del envío sin certificar. En el caso de las devoluciones fraudulentas, podríamos asimilarlas a las del comercio físico, porque hacen referencia a una compra que se realiza para usar el producto adquirido solo por unos días, con la intención dedevolverloluegocomosinosehubieseusado.

Estas técnicas son muy comunes en los gi- gantes del comercio electrónico, pero para el minorista puedencomportargravesproblemas. Para evitarlas, podemos poner en marcha ini-

EL ‘E-COMMERCE’ HA DE ASUMIR EL RETO E IMPLANTAR ESTRATEGIAS PARA

GESTIONAR LOS RIESGOS Y PREVENIR  EL FRAUDE CON EL OBJETIVO  DE GARANTIZAR LAS TRANSACCIONES, ASÍ COMO LA CONFIDENCIALIDAD DE LOS DATOS  DE CLIENTES, PEDIDOS Y PROVEEDORES[pic 16]

ciativas que nos permitan conocermás a nues- tros clientes y obtener de ellos más datos con los que podamos identificarlos de manera uní- voca. Se han dado casos en e-commerce nacio- nales en los que, por la ausencia de estos datos identificativos de los clientes, no se hanpodido reclamarjudicialmente fraudes como los men- cionados.

▶ Por parte de ciberdelincuentes. Los datos que almacenamos de nuestros clientes son un suculento “plato” para los delincuentes  de lared, porque puedenserexplotadosporter- ceros para realizar estafas de distinta índole. La confidencialidad de los datos es, pues, fun- damental para evitar este tipo de fraudes. Que la base de datos de un e-commerce no esté con- venientemente cifrada y protegida comporta que se produzcan filtraciones que perjudiquen no solo a su reputación, sino también a su fac- turación. Además, y como veremos más ade- lante, estas situaciones pueden agravarse con sancioneseconómicasdebidasaincumplimien- tos normativos.

Mi  reputación  online: suplanta- ción. El fraude online suele asociarse a la suplantacióndeidentidad,y,aunqueesteesuno delosmáscomunes, existenmástipos queafec- tan a los comercios y les hacen incurrir en pér-

2

didas millonarias:

▶ Este no es mi ‘e-commerce’. Al igual que existen falsificaciones de productos tradi- cionales, tambiénse dancasos de suplantación de marcas en Internet que consiguen

 replicar páginas web para vender pro- ductos falsos dando apariencia de legalidad. Este fraude suele consolidarse a través de do- minios similares, así como con una completa suplantación de la imagen del e-commerce le- gítimo. El inicio de esta amenaza suele ser el envío de publicidad fraudulenta que redirige haciaestaswebsclonesdelasoriginales, donde, en muchos casos, lo que se adquiere son falsifi- caciones, pero, en otros, directamente, se trata de estafas enlas que los usuarios compranpro- ductos que jamás les llegarán.

...