Categorías
entrevistas

La importancia de la seguridad en el e-commerce: entrevista con Miguel Ángel Martín

La falta de seguridad en nuestro e-commerce incrementa la tasa de rebote, uno de los indicadores clave que comentamos en el capítulo 9 cuando analizamos el rendimiento y los resultados de nuestra web.

La tasa de rebote (bouncing rate en inglés) en pocas palabras podemos explicarlo como el porcentaje de usuarios que abandona nuestra página web en unos pocos segundos después de entrar.

Esta situación puede tener varias causas: que la página no esté optimizada para móvil, que el usuario no encuentre rápidamente lo que busca o sea demasiado lenta, entre otras, pero también puede ser debido a que la web no transmita seguridad para comprar allí o incluso pueden haber hackeado la web introduciendo malware o software malicioso, y entonces se le muestren bien en el navegador o desde el antivirus que tenga el usuario, avisos sobre que el sitio no es seguro, que contiene software malicioso, etc.

Además de las implicaciones económicas de estos abandonos, si además ha habido un acceso no autorizado a los datos personales de clientes (y no lo hemos puesto en conocimiento de los interesados ni de la Agencia de Protección de Datos) podríamos enfrentarnos a sanciones derivadas del incumplimiento de la RGPD como vemos en el capítulo 6 dedicado a la legislación.

Como ves, la seguridad no es un tema menor e influye tanto o más que el resto de procesos en el éxito de tu e-commerce, hoy queremos que conozcas a un profesional que puede ayudarte en esta área en tu proyecto e-commerce.

Miguel Ángel Martín

CEO de Hack by Security

¿Cuál es tu área de trabajo relacionada con el comercio electrónico?

La ciberseguridad debe estar presente, o al menos debería, en cualquier ámbito tecnológico, en el caso del comercio electrónico, se debe auditar y verificar que la tienda es segura, nadie compraría ningún producto en una tienda en la cual tus datos son accesibles por cualquier persona, o los métodos de pago empleado no san fiables y se puedan robar tarjetas de crédito o cuentas bancarias.

Nuestro trabajo como auditores/hackers es validar que las plataformas de e-commerce sean seguras, tanto desde el punto de vista de la empresa como del cliente, para ello realizamos diferentes pruebas de #Pentesting.

¿Qué servicios puedes aportar Hack by Security a un e-commerce?

Los servicios que HbS puede aportan pasan desde una auditoria basada en test de intrusión (pentesting) hasta el análisis de código, pruebas de phishing a empleados etc…

La auditoría de estas plataformas cuenta con una serie de pruebas específicas para validar y verificar el estado de la seguridad.

Inicialmente se realiza una recolección de información para detectar vulnerabilidades o fallas de seguridad abiertas, y posteriormente se analiza y estudia el comportamiento de la plataforma tanto interno (poniendo a prueba la seguridad de los diferentes perfiles de usuario y comprobando que no existen posibilidades de fuga de información entre perfiles) como externo (como si de un ciberdelincuente se tratase).

En una fase final, con toda la información obtenida se generaría el vector de ataque necesario para comprometer el objetivo.

Dentro de las pruebas realizadas destaco algunas como la inyección SQL, fuga de información, métodos de autenticación o cifrado débil, validación incorrecta de parámetros, escalada de privilegios y un largo etcétera.

Los beneficios implícitos en una auditoría de una plataforma e-commerce vienen dados por garantizar la confidencialidad, integridad y disponibilidad de los datos, de forma que, un ciberdelincuente no pueda acceder a información sensible o modificarla. No hay que olvidar que cuando sufrimos este tipo de ataques, no solo la reputación de la empresa queda dañada, sino que hay que tener en cuenta la RGPD y las posibles sanciones que tengamos que asumir.

En términos generales, ¿es seguro el comercio electrónico hoy en día? ¿Cuáles son los riesgos o ataques más comunes que sufren las tiendas online?

El comercio electrónico, si se siguen una serie de pautas desde el inicio, en general es seguro, pero sí es cierto que se debe huir de tiendas que ya directamente según entras en la web no inspiran confianza, diseño muy poco cuidado, faltas de ortografía, URLs extrañas… todo esto puede ser un indicativo de que dicha tienda es fraudulenta, y que, aunque el método de pago sea seguro, posiblemente no te llegue ningún artículo.

Por otro lado, tenemos los sitios legítimos, donde los Ciberdelincuentes, realizan ataques, tanto a la página web, como a sus clientes, es por este motivo, por el que todos formamos parte de la cadena de la ciberseguridad, no podemos reclamarle nada a una tienda si hemos hecho click en un enlace que no debemos de un mail que ellos no nos han enviado, por lo tanto, nosotros como clientes debemos estar alerta, ya que las campañas de phishing son continuas.

En el caso de los portales de e-commerce, los ataques son muchos y variados, desde ataques vía phishing a la propia empresa, a ataques más elaborados tecnológicamente hablando como puede ser el XSS o una denegación de servicio; no por ser un tipo de portal en concreto recibe diferentes ataques que otros portales, aunque sí es cierto que la metodología cambia.

¿Cuáles serían las medidas de protección y prevención básicas?

Hay que empezar desde abajo, es decir, CONCIENCIACIÓN. Una vez que tenemos a nuestro equipo formado, si hablamos de la empresa, o nosotros, como clientes, y con una conciencia de los peligros que hay en internet, podemos empezar a escalar.

En este enlace podéis ver información de un curso de Concienciación en el cual enseñamos a detectar esos correos fraudulentos, paginas no legítimas, intentos de phishing y en definitiva, preparar de forma amena al usuario para que tenga una serie de herramientas para estar prevenido.

Nosotros siempre recomendamos ser proactivos, realizar auditorías de seguridad periódicas sin sobredimensionar las necesidades reales de nuestros clientes, utilizar contraseñas seguras, formar al equipo técnico con cursos de Ciberseguridad tanto en la parte de Red Team (ataque) o en parte de Blue Team (defensa).

Además de esa formación en concienciación y técnica del equipo de desarrollo de la plataforma, se deben seguir determinadas medidas de seguridad, las instalaciones o configuraciones por defecto no suelen dar muy buenos resultados desde el punto de vista de la ciberseguridad, y aunque son fáciles de hacer, también facilitan la labor a los ciberdelincuentes, por lo que debemos configurar correctamente nuestros servicios, y exponer únicamente lo necesario, si nuestro portal de comercio electrónico tiene un puerto o un servicio que no se usa, hay que desconectarlo, cuantas menos puertas tengamos que proteger, más seguros estaremos; las actualizaciones también es un apartado clave, estar al día de las noticias de seguridad ayuda a conocer las vulnerabilidades existentes y saber que si no actualizas los sistemas puedes tener un problema, y finalmente el uso de software defensivo, como puede ser un firewall, antivirus, etc… a día de hoy son muy necesarios.

¿Qué aplicaciones recomiendas que facilite la gestión de la seguridad de la tienda online?

A priori no nos gusta recomendar ningún software o aplicación en concreto, ya que muchos de ellos podemos saltárnoslos, pero sí es cierto que quizá, lo que mejor está funcionando es la delegación de toda la parte de seguridad en un tercero, por ejemplo, existen muchos servicios en la nube que nos aíslan de gestionar o actualizar nuestros sistemas y nos protegen de muchos ataques, además de tener un servicio técnico que nos puede ayudar.

Y desde el punto de vista del cliente, los gestores de contraseñas son un buen método de aumentar la seguridad, así como seguir determinadas pautas, activar siempre el doble factor de autenticación, no usar contraseñas poco seguras, limitar la cantidad de dinero que podemos gastar, o el uso de tarjetas de prepago con una cantidad pequeña que no están asociadas a nuestra cuenta, de esta forma, si nos roban dicha tarjeta no tendrán acceso a todos nuestros ahorros.

¿Cuándo sería recomendable contratar una auditoría de seguridad?

Antes de la salida a la “calle”. Esto es como todo, si realizamos una auditoria antes de exponer nuestra plataforma de e-commerce a internet, podremos solventar las fallas de seguridad y realizar un lanzamiento más seguro.

En el caso de que ya tengamos nuestra plataforma publicada, sencillamente es realizar estas auditorías como digo, de una manera periódica ya que las actualizaciones también tienen sus vulnerabilidades, las modificaciones de código etc.

No hay que caer en el error de que realizamos una auditoria y ya somos “Ciberseguros”, al final se trata de buscar siempre la proactividad, subiendo las “barreras” lo máximo posible para que ciertos Ciberdelincuentes de perfil bajo no tengan el acceso tan sencillo.

¿Cómo pueden contratar vuestros servicios?  

Nuestros clientes siempre vienen referenciados por otros clientes, otros llaman al teléfono que tenemos en la web, otros nos escriben a info@hackbysecurity.com , otros nos llegan mediante el formulario de www.hackbysecurity.com , en definitiva, intentamos tener diversas vías de acceso para que todas las empresas y particulares que necesiten tanto servicios basados en Ethical Hacking como formación en estas materias puedan localizarnos fácilmente.

ENTRADAS RELACIONADAS: