Así proteges tu negocio de los hackers

Como propietario de una tienda online no solo eres responsable de tus datos, sino también de los de tus clientes. Por tanto, debes proteger tu negocio con especial cuidado ante los ataques de hackers. En este artículo te presentamos los métodos más utilizados por los hackers a la hora de acceder a un sitio web y cómo proteger tus datos y los de tus clientes.

hacker accediendo a sitio web

Philipp Jakubowski, jefe de la Oficina de Seguridad de Trusted Shops y especialista en seguridad en internet, responde a las preguntas más frecuentes sobre los ataques de hackers a los negocios online.

ÍNDICE

  1. ¿Están todos los negocios online en peligro?

  2. ¿A qué apuntan los hackers cuando atacan a las empresas?

  3. ¿Cómo proteges tu empresa ante los ataques de hackers?

  4. ¿Cómo te aseguras de que los datos de los clientes están a salvo?

  5. RGPD: ¿es esta la mejor manera de garantizar la seguridad de los datos de los clientes?

  6. ¿Cómo aumentas la fiabilidad en tu tienda?

  7. ¿Qué debes hacer si alguien te informa de una violación de seguridad?

  8. ¿El Covid-19 ha conducido a nuevas formas de ciberataque?

¿Están todos los negocios online en peligro?

Podemos tener la impresión de que los ataques cibernéticos no nos conciernen o que sólo afectan a las grandes empresas, pero no es así.

Siempre existe un cierto riesgo de que tengan lugar estos ataques. Este riesgo no desaparecerá, de hecho, es aún más probable que se intensifique.

Las tecnologías evolucionan y también lo hace la probabilidad de los ataques. Si comercializas online, entonces te enfrentas a ese riesgo.

"Las empresas que no toman precauciones y no ponen la seguridad en primer lugar están cometiendo un gran error".

¿A qué apuntan los hackers cuando atacan a las empresas?

Aquí distinguimos entre "ataques técnicos" y "ataques de ingeniería social".

  • Ataques técnicos: durante los ataques técnicos, los hackers exploran tu sitio web, sistemas y redes en busca de brechas de seguridad para averiguar por dónde podrían entrar. 

  • Ataques de ingeniería social: son todos aquellos mediante los cuales los hackers usan a tus empleados como intermediarios. 

¿Cómo utilizan a tus empleados? 

Enviándoles un correo electrónico que aparentemente fue enviado por un compañero y pidiéndoles información sensible. 

Otra posibilidad es que inviten a tus empleados a hacer clic en un enlace de ese correo electrónico, por ejemplo.

hombre con laptop

¿Cómo proteges tu empresa ante los ataques de hackers?

La mayoría de las empresas tienen cuidado a la hora de proteger sus sistemas contra todos los ataques técnicos, pero olvidan que los empleados son su principal barrera de defensa.

Por lo tanto, es crucial concienciar a todo el personal sobre la importancia de la seguridad en internet. 

1. Ofrece a tus empleados trainings para enseñarles las mejores prácticas de seguridad

Algunos ejemplos de esas prácticas de seguridad serían: 

  • Comprobar antes el correo del remitente antes de hacer clic

  • No hacer clic en los enlaces desconocidos

  • No abrir los archivos adjuntos

  • No dar información confidencial a los extraños

Sin embargo, las empresas más pequeñas rara vez se enfrentan a ataques técnicos. No en términos de probabilidad, sino más bien porque es más fácil obtener una visión general de sus posibles brechas de seguridad.

"Cuanto más grande es la empresa, más complicado se vuelve. Es más fácil mantener un edificio seguro que una ciudad".

Cuando se garantiza la seguridad de un edificio, es mucho más fácil controlar las puertas de entrada, hacer un seguimiento de los cambios realizados, y tener todos los sistemas de seguridad bien en mente.

¡Ahora imagina la misma situación con una ciudad entera! El alcance de la tarea definitivamente no es el mismo aquí. Y esto también se aplica a las empresas.

2. Utiliza contraseñas complejas

Como vendedor online necesitas muchas contraseñas, por ejemplo para el acceso como administrador al sistema de tienda, para el acceso a las bases de datos o a los alojamientos web.

candado sobre tecladoElige contraseñas lo más complejas posibles, que contengan letras, cifras, signos especiales y que superen una longitud mínima de 8 caracteres. Las contraseñas demasiado simples o cortas son más fáciles de descifrar.

Utiliza para cada acceso diferentes contraseñas, con ello evitas pérdidas totales si te roban una sola contraseña. Un gestor de contraseñas te ayuda a administrar las diferentes contraseñas.

3. Utiliza antivirus y cortafuegos

Utiliza en tu ordenador antivirus para detectar virus y troyanos, así como un cortafuegos, en el que no se pueden realizar modificaciones sin autorización.

Mantén los programas siempre actualizados. Recuerda además actualizar regularmente tu sistema operativo, los fabricantes también suelen subsananar las posibles deficiencias en seguridad.

4. Mantén el sistema de tu tienda actualizado

Lo mismo que se tiene en cuenta para los programas de antivirus y sistemas operativos, es válido también para tu sistema de tienda: Mantenlo siempre actualizado.

La mayoría de los proveedores proporcionan actualizaciones regulares, en las cuales se subsanan los errores conocidos y se pueden incluir características relevantes a la seguridad.

5. Escatima con los permisos de escritura en el servidor web

Cuantos más permisos de lectura tengas, mayor puede ser el riesgo de que programas maliciosos accedan al servidor web. En el peor de los casos, estos archivos leen los datos de tus clientes. Por lo tanto, asigna derechos de escritura allá donde sea realmente necesario.

6. Protege los formularios

Los formularios, por ejemplo los formularios de búsqueda, el registro de usuarios o el acceso de clientes, son utilizados a menudo como puerta de entrada para los programas maliciosos.

En el código del programa determinas cómo se procesan y se leen estos datos. Por eso en la creación del código deberías incluir (o hacer que te incluyan), algoritmos que dificulten a los programas maliciosos avanzar en el sistema, mediante los llamados «Ataques de inyección de código».

7. Cifra los datos confidenciales

No existe, ni existirá jamás una seguridad al cien por cien. Ningún proveedor puede reparar vulnerabilidades no publicadas, así que cualquier sistema siempre será vulnerable. Por ello, aún más importante es estar preparado para el peor de los casos.

Un método muy eficaz es almacenar solo los datos cifrados y mantener la clave segura y separada de los datos. Si un atacante consigue obtener acceso al sistema, sólo encontrará datos ilegibles.

8. Obtén ayuda profesional

Nadie puede ser especialista en todo. Esto sirve en particular para la seguridad de la información. Para ello hay soluciones y expertos que pueden ayudarte a asegurar tu tienda online y que te dicen claramente dónde está el problema. La gama abarca desde escáneres de vulnerabilidades automatizados hasta encargados externos de seguridad de la información.

¿Cómo te aseguras de que los datos de tus clientes están a salvo?

chica visitando tienda online

Cifra tus datos. Cifrar los datos de tus clientes es la única manera de asegurar su protección.

Debes hacerlo, no sólo con los datos almacenados en el servidor, sino también cuando se transfieren los datos de los clientes. 

Sin la encriptación, siempre existe un cierto riesgo en cuanto a la seguridad de los datos de los clientes:

  • Si almacenas los datos en un disco duro, entonces todos los que tienen acceso a la unidad, también tienen acceso a los datos en ella.

  • Si cambias los sistemas de almacenamiento, la configuración del hardware, o incluso tu alojamiento web, no tendrías un control sobre lo que podría llegar a pasar con los datos almacenados. Puede parecerte obvio y sin embargo, incluso le ha ocurrido a agencias gubernamentales en el pasado.

  • El servidor en el que almacenas tus datos también se podría vender más adelante y entonces no tendrías forma de saber en qué manos terminará. Por lo tanto, debes prestar mucha atención a los términos de desistimiento de tu contrato. 

"Si tuviera que resumirlo en una palabra: ¡Encriptación! Tú debes ser el único con control sobre los datos de los clientes".

Sólo tú deberías tener la clave para decodificar y leer estos datos. Mientras no pierdas la llave, estarás a salvo.

RGPD: ¿es esta la mejor manera de garantizar la seguridad de los datos de los clientes?

Sí y no. Depende.

Por supuesto que el Reglamento General de Protección de Datos (RGPD) te da muchos consejos valiosos, pero deberías verlo más bien como un marco general.

Hay muchos otros detalles a los que debes prestar atención cuando se trata de proteger los datos de los clientes.

La encriptación, por ejemplo, no es un requisito obligatorio de la RGPD, aunque es muy recomendable. 

Libro blanco preguntas sobre el RGPD

¿Cómo aumentas la fiabilidad en tu tienda?

Hay un gran número de posibilidades a tu disposición, entre las cuales no todas tienen que ver directamente con la seguridad informática.

Aquí te presentamos una visión general de lo que podrías poner en marcha:

  • Protocolo HTTPS: Pocos usuarios de internet estarán dispuestos a introducir sus datos bancarios en un sitio que no esté protegido por este protocolo.

  • Los términos y condiciones generales de venta y los avisos legales: estos deben ser exhibidos de forma llamativa. Por supuesto, esto no puede garantizar la fiabilidad de un sitio, pero su presencia contribuye a un aumento de la tranquilidad en el usuario.

  • Valoraciones auténticas de clientes reales: La mayoría de los consumidores consulta las valoraciones de otros clientes antes de hacer un pedido. Este es, en efecto, un elemento que transmite confianza y seguridad. Sin embargo, para mayor seguridad, te aconsejo que consultes el perfil de la tienda online en el sitio del proveedor de sistema de valoración. Si el sitio utiliza los servicios de Trusted Shops, puedes buscar en Google "Nombre del sitio + valoraciones + Trusted Shops" para encontrar la página del perfil.

  • Un Sello de Calidad reconocido por los compradores como el de Trusted Shops. Al obtenerlo, mostrarás el Trustbadge© en tu sitio. Es un elemento discreto pero fácilmente reconocible que permite a los clientes identificar tu sitio como fiable.

📚Lectura recomendada: Importancia de los sellos de calidad en eCommerce

¿Qué debes hacer si alguien te informa de una violación de seguridad?

Si alguien te informa acerca de violaciones de seguridad en tu sitio, no vayas directamente a la policía. Primero, debes escucharlos con atención y pedirles que investiguen más.

"La mayoría de estos hackers no son seres malévolos que operan en la red oscura y atacan simultáneamente a Facebook para adquirir millones de euros".

La mayoría de las veces, son estudiantes de informática, entusiastas o personas que necesitan reconocimiento. Incluso hay un nombre para este tipo de ciberatacantes: investigadores de seguridad.

¿Esperan una recompensa económica o sólo ofrecen sus servicios?

Es diferente cada vez. Algunos sólo escriben "Oye, encontré una vulnerabilidad en tu sitio web" Otros dan información exacta por adelantado y amablemente piden una recompensa.

Es cierto que no será gratis, pero tampoco suele ser una gran cantidad de dinero. Muy a menudo, sólo pagas alrededor de 20 euros por esta "investigación". 

Personalmente, nunca me pareció una gran cantidad. Los investigadores siempre han dado la información de forma gratuita y nunca se han comportado de forma descortés.

Es un negocio que me gusta llamar "consultoría no solicitada".

Puede parecer un poco extraño, pero cuando trabajas en seguridad informática el tiempo suficiente, te acostumbras. 

En cualquier caso, ten la mente abierta. Llamar a la policía no resolverá el problema y no estarías al tanto de tus faltas si no fuera por ellos. 

En Trusted Shops, de hecho, tenemos en cuenta su información y la analizamos. 

¿El COVID-19 ha conducido a nuevas formas de ciberataques?

No habrá ningún método revolucionario que los hackers inventen y utilicen. Sin embargo, se aprovecharán de esta crisis como base para su trabajo.

Creo que el riesgo de ataques de ingeniería social es ahora algo mayor debido al aumento del teletrabajo.

A medida que la comunicación se hace más virtual y digital, la mayor parte de la comunicación tiene lugar a través del correo electrónico y el teléfono. 

Desde el punto de vista de un "ataque técnico", la gente usa sus propios ordenadores para trabajar, entonces todas las precauciones tomadas ya no serán factibles (encriptación, antivirus, etc.).

Del mismo modo, si un hacker ya se ha apoderado de un ordenador privado y tu empleado lo utiliza ahora para trabajar, entonces esto podría convertirse en un problema para tu negocio.

Por lo tanto, pide a tus empleados que utilicen los ordenadores de la empresa o asegúrate de que no se almacenen datos sensibles en los dispositivos privados de tus empleados.

La seguridad es una inversión rentable

En el caso del uso indebido de datos, los daños a la propia imagen, las pérdidas económicas y las multas suelen ser enormes, por lo que una inversión en la seguridad de tu tienda online es una inversión rentable.

¡Gracias Philipp por los útiles consejos!

Newsletter

0 Comentarios