<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-PWMBPK" height="0" width="0" style="display:none;visibility:hidden">

Entrevista sobre los ataques cibernéticos: Cómo proteger tu negocio de los hackers

Philipp Jakubowski, jefe de la Oficina de Seguridad de Trusted Shops y especialista en seguridad en internet, responde a nuestras preguntas sobre los ataques cibernéticos a los negocios online. ¿Qué métodos utilizan los hackers? ¿Cómo proteges los datos de tus clientes? ¿Contribuye la actual crisis del covid-19 a que las empresas sean más vulnerables? ¡Sigue leyendo para descubrir las respuestas!

blogTitle-online_safety-1v-w680h280

¿Están todos los negocios online en peligro?

Podemos tener la impresión de que los ataques cibernéticos no nos conciernen o que sólo afectan a las grandes empresas, pero no es así.

Siempre existe un cierto riesgo de que tengan lugar los ataques cibernéticos. Este riesgo no desaparecerá, de hecho, es aún más probable que se intensifique.

Las tecnologías evolucionan y también lo hace la probabilidad de los ataques. Si comercializas online, entonces te enfrentas a ese riesgo.

"Las empresas que no toman precauciones y no ponen la seguridad en primer lugar están cometiendo un gran error."

¿A qué apuntan los hackers cuando atacan a las empresas?

Tenemos que distinguir entre "ataques técnicos" y "ataques de ingeniería social".

Durante los ataques técnicos, los hackers exploran tu sitio web, sistemas y redes en busca de brechas de seguridad para averiguar por dónde podrían entrar. 

Ataques de ingeniería social por otro lado, son todos aquellos mediante los cuales los hackers usan a tus empleados como intermediarios. 

¿Cómo utilizan a tus empleados? 

Enviándoles un correo electrónico que aparentemente fue enviado por un compañero y pidiéndoles información sensible. 

Otra posibilidad es que inviten a tus empleados a hacer clic en un enlace de ese correo electrónico, por ejemplo.

¿Cómo puedes proteger a tu empresa de este tipo de ataques?

La mayoría de las empresas tienen cuidado a la hora de proteger sus sistemas contra todos los ataques técnicos, pero olvidan que los empleados son su principal barrera de defensa.

Por lo tanto, es crucial concienciar a todo el personal sobre la importancia de la seguridad en internet. 

Ofrece a tus empleados entrenamientos para enseñarles o recordarles las buenas prácticas de seguridad.

Algunos ejemplos de esas prácticas de seguridad serían: 

Proteger a tu empresa de los correos electrónicos fraudulentos, no deberías:

  • hacer clic en los enlaces desconocidos

  • abrir los archivos adjuntos desconocidos

  • dar información confidencial a los extraños 

En vez de eso, deberías:

  • tener cuidado con los correos electrónicos que te ponen en una situación estresante y urgente

  • (sin hacer clic) comprueba el correo electrónico del remitente pasando el cursor del ratón sobre la dirección 

Sin embargo, las empresas más pequeñas rara vez se enfrentan a ataques técnicos.

No en términos de probabilidad, sino más bien porque es más fácil obtener una visión general de sus posibles brechas de seguridad.

"Cuanto más grande es la compañía, más complicado se vuelve. Es más fácil mantener un edificio seguro que una ciudad".

Cuando se garantiza la seguridad de un edificio, es mucho más fácil controlar las puertas de entrada, hacer un seguimiento de los cambios realizados, y tener todos los sistemas de seguridad bien en mente.

¡Ahora imagina la misma situación con una ciudad entera! El alcance de la tarea definitivamente no es el mismo aquí.

Esto también se aplica a las empresas.

¿Cómo puedes estar seguro de que los datos de tus clientes están protegidos?

Cifra tus datos. Cifrar los datos de tus clientes es la única manera de asegurar su protección.

Debes hacerlo, no sólo con los datos almacenados en el servidor, sino también cuando se transfieren los datos de los clientes. 

Sin la encriptación, siempre existe un cierto riesgo en cuanto a la seguridad de los datos de los clientes:

  • Si almacenas los datos en un disco duro, entonces todos los que tienen acceso a la unidad, también tienen acceso a los datos en ella.

  • Si cambias los sistemas de almacenamiento, la configuración del hardware, o incluso tu alojamiento web, no tendrías un control sobre lo que podría llegar a pasar con los datos almacenados. Puede parecerte obvio y sin embargo, incluso le ha ocurrido a agencias gubernamentales en el pasado.

  • El servidor en el que almacenas tus datos también se podría vender más adelante y entonces no tendrías forma de saber en qué manos terminará. Por lo tanto, debes prestar mucha atención a los términos de desistimiento de tu contrato. 

Si tuviera que resumirlo en una palabra: ¡Encriptación! Tú debes ser el único con control sobre los datos de los clientes.

Sólo tú deberías tener la clave para decodificar y leer estos datos. Mientras no pierdas la llave, estarás a salvo.

RGPD: ¿Es esta la mejor manera de garantizar la seguridad de los datos de los clientes?

Sí y no. Depende.

Por supuesto que el Reglamento General de Protección de Datos (RGPD) te da muchos consejos valiosos, pero deberías verlo más bien como un marco general.

Hay muchos otros detalles a los que debes prestar atención cuando se trata de proteger los datos de los clientes.

La encriptación, por ejemplo, no es un requisito obligatorio de la RGPD, aunque es muy recomendable. 

Libro blanco preguntas sobre el RGPD

¿Cómo puedes tranquilizar a tus clientes sobre la fiabilidad de tu tienda?

Hay un gran número de posibilidades a tu disposición, entre las cuales no todas tienen que ver directamente con la seguridad informática.

Aquí te presentamos una visión general de lo que podrías poner en marcha:

  • Un sitio "fácil de usar" es un primer signo importante de confianza.

  • Protocolo HTTPS: Pocos usuarios de internet estarán dispuestos a introducir sus datos bancarios en un sitio que no esté protegido por este protocolo.

  • Los términos y condiciones generales de venta y los avisos legales deben ser exhibidos de forma llamativa. Por supuesto, esto no puede garantizar la fiabilidad de un sitio, pero su presencia contribuye a un aumento de la tranquilidad en el usuario.

  • Valoraciones auténticas de clientes reales (en un sistema de valoración cerrado).  El 90% de los usuarios de internet consulta las valoraciones de otros clientes antes de hacer un pedido. Este es, en efecto, un elemento que transmite confianza y seguridad. Sin embargo, para mayor seguridad, te aconsejo que consultes el perfil de la tienda online en el sitio del proveedor de sistema de valoración. Si el sitio utiliza los servicios de Trusted Shops, puedes buscar en Google "Nombre del sitio + valoraciones + Trusted Shops" para encontrar la página del perfil.

  • Una marca de confianza reconocida como el Sello de Calidad de Trusted Shops. Al obtenerlo, mostrarás el Trustbadge© en tu sitio. Es un elemento discreto pero fácilmente reconocible que permite a los clientes identificar tu sitio como fiable.

New Call-to-action

¿Y como cliente, cómo sé que estoy en un sitio seguro?

Te recomiendo que prestes atención a los sitios con precios particularmente bajos. Te aconsejo que busques en Google el nombre del sitio asociado a palabras clave como "sitio falso" o "estafa".

¿Qué debes hacer si alguien te informa de una violación de seguridad?

Si alguien te informa acerca de violaciones de seguridad en tu sitio, no vayas directamente a la policía. 

Primero, debes escucharlos con atención y pedirles que investiguen más.

"La mayoría de estos "hackers" no son seres malévolos que operan en la red oscura y atacan simultáneamente a Facebook para adquirir millones de euros".

La mayoría de las veces, son estudiantes de informática, entusiastas o personas que necesitan reconocimiento.

Incluso hay un nombre para este tipo de ciberatacantes: investigadores de seguridad.

¿Esperan una recompensa económica o sólo ofrecen sus servicios?

Es diferente cada vez. Algunos sólo escriben "Oye, encontré una vulnerabilidad en tu sitio web" Otros dan información exacta por adelantado y amablemente piden una recompensa.

Es cierto que no será gratis, pero tampoco suele ser una gran cantidad de dinero. Muy a menudo, sólo pagas alrededor de 20 euros por esta "investigación". 

Personalmente, nunca me pareció una gran cantidad. Los investigadores siempre han dado la información de forma gratuita y nunca se han comportado de forma descortés.

Es un negocio que me gusta llamar "consultoría no solicitada".

Puede parecer un poco extraño, pero cuando trabajas en seguridad informática el tiempo suficiente, te acostumbras. 

En cualquier caso, ten la mente abierta. Llamar a la policía no resolverá el problema y no estarías al tanto de tus faltas si no fuera por ellos. 

En Trusted Shops, de hecho, tenemos en cuenta su información y la analizamos. 

¿La crisis de COVID-19 conducirá a nuevas formas de ciberataques?

No habrá ningún método revolucionario que los hackers inventen y utilicen. Sin embargo, se aprovecharán de esta crisis como base para su trabajo.

Creo que el riesgo de ataques de ingeniería social es ahora algo mayor debido al aumento del trabajo digital (teletrabajo).

A medida que la comunicación se hace más virtual y digital, la mayor parte de la comunicación tiene lugar a través del correo electrónico y el teléfono. 

Desde el punto de vista de un "ataque técnico", la gente usa sus propios ordenadores para trabajar, entonces todas las precauciones tomadas ya no serán factibles (encriptación, antivirus, etc.).

Del mismo modo, si un hacker ya se ha apoderado de un ordenador privado y tu empleado lo utiliza ahora para trabajar, entonces esto podría convertirse en un problema para tu negocio.

Por lo tanto, pide a tus empleados que utilicen los ordenadores de la empresa o asegúrate de que no se almacenen datos sensibles en los dispositivos privados de tus empleados.

...

¡Gracias Philipp por los útiles consejos! 

¡Cuídate y mantente informado!

New Call-to-action

0 Comentarios