comparte el articulo 

Seguridad en entornos de e-commerce (tiendas online)

Actualizado el 25/11/2011 < > 1 Comentario

Resumen: En este artículo analizamos algunos de los conceptos principales en el tema de la seguridad informática, así como vimos algunos de los ataques más frecuentes a nuestros clientes y posibles soluciones.

Uno de los principales problemas que se presentan a la hora de desarrollar y conceptualizar una aplicación para e-commerce es la seguridad, no solo de los datos de propiedad de la empresa sino de los datos personales y económicos introducidos por nuestros clientes.

Cada día se realizan ataques de diferentes tipos a numerosos portales, prevenir esto en nuestra tienda online es una prioridad ineludible. Recuerde, que es responsabilidad de la empresa la protección de todos los datos que los clientes inserten en nuestro sitio.

En este artículo daremos algunos conceptos importantes y analizaremos algunas de las principales técnicas utilizadas por los atacantes así como nuestra posición y las medidas que debemos tomar antes éstas.

Pilares de la seguridad electrónica (e-security)

Unos de los aspectos más importantes que debemos conocer, son cuales son los principales pilares de la seguridad digital, con el fin de protegerlos y aplicarlos en nuestros sistemas.

Confidencialidad en las tiendas online

Es la característica que asegura la protección de los datos de nuestros clientes, es decir, nadie que no esté autorizado debe tener acceso.

Las regulaciones sobre protección de datos son bien específicas en qué hacer y cómo hacerlo, por lo que recomendamos consulten las siguientes regulaciones:

El incumplimiento de alguna de estas leyes puede conllevar a una multa de hasta 60 000€.

Disponibilidad

Es la característica que asegura que siempre los datos estés disponibles para las personas autorizadas.

Integridad

Es la característica que asegura que el sistema siempre realice correctamente lo que se le pide y garantice que las acciones siempre la ejecute el personal autorizado.

Técnicas de ataques frecuentes en el e-commerce

Ingeniería social

Es la técnica de ataque más utilizada, y explota la buena fe y el desconocimiento de nuestros usuarios. Normalmente se contacta al cliente, haciéndose pasar como funcionario de nuestra empresa y se solicita usuario, contraseña e incluso datos bancarios. Esta técnica es basada fundamentalmente en el engaño siguiendo la máxima que el usuario es el eslabón más débil.

Para evitar esto, lo primero es que debemos aclarar a nuestros usuarios en qué momentos pudiera nuestra empresa comunicarse con ellos y aclarar que bajo ningún concepto se pedirán datos bancarios, personales o sus credenciales en nuestro sistema.

Phishing

Es otra técnica de ingeniería social, la cual normalmente se envía un correo con una comunicación “oficial” de alguna compañía importante o de confianza donde se pide que ingrese a su cuenta, normalmente se disfraza una página muy similar a la original y se esconde bajo ciertos subdominios o se enmascara, de esta forma el usuario confiando que es la original ingresa sus datos.

El Phishing además para el blanqueado del dinero genera una red de “mulas” (personas que sin saberlo blanquean el dinero del phishing), consiste en enviarle un correo a las personas haciéndose pasar como una pseudoempresa que necesitan “gestores” financieros cuya función es recibir dinero en sus cuentas bancarias y reenviarlos a otras cuentas financieras dadas por estas pseudoempresa, las personas que participan en esto sin saberlo están cometiendo un delito.

En la siguiente imagen vemos un ejemplo clásico de Phishing, nótese como se piden los datos bancarios.

Ejemplo de Phishing

Ejemplo de Phishing

Este es un ejemplo real de Phishing, es un ataque a los clientes del Banco BBVA uno de los bancos más castigados con esta técnica. Nótese en la parte inferior a la dirección que conducía.

Ejemplo de Phishing con BBVA

Ejemplo de Phishing con BBVA

Pharming

Se utiliza normalmente combinada con el Phishing y consiste en alterar la configuración de DNS (Servidor de Nombres de Dominio, por sus siglas en inglés).

Cuando nos comunicamos con un sitio web, nuestro ordenador hace una petición al servidor DNS el cual le orienta a nuestro ordenador donde está la página solicitada, en este tipo de ataque, este servidor lo que hace es que aunque escribamos la dirección correcta nos envía al sitio del atacante donde nos encontraremos con interfaces iguales al sitio original por lo que es muy fácil confundirse y caer en la trampa.

Photobucket

Trashing

Normalmente anotamos en papel nuestras contraseñas para no olvidarlas, el transhing consiste en buscar estos papeles cuando los desechamos. Ocurre muy frecuentemente que cuando nos sabemos una contraseña pues el papel donde la teníamos anotada lo tiramos a la basura y en ese caso el atacante busca en la basura y lo encuentra. Es muy común en centros de trabajos o escuelas donde es usual este tipo de error. Incluso de han detectado casos de trashing lógicos, donde son analizados buffers de impresoras y soportes magnéticos en busca de estos datos.

Otras

Hay muchísimas otras técnicas de ataque no solo para el e-commerce sino también para la informática en general. Otros ejemplos son los bien conocidos malware y spyware, los cuales engloban un gran grupo de aplicaciones para la obtención de claves, contraseñas y el establecer el control del ordenador

Soluciones

El eslabón más débil de la cadena es nuestro cliente, por lo que es importante mantenerlos informados de éstas técnicas de ataque, además de implementar nuestras propias técnicas y protocolos para evitar esto. Entre las principales medidas que podemos tomar como desarrolladores están:

  • Debemos garantizar que los clientes a la hora de registrarse en nuestro sistema aporten contraseñas seguras (para ser consideradas seguras deben tener un mínimo de 8 caracteres e incluir letras mayúsculas, números y símbolos).
  • Informar a nuestros usuarios nuestras políticas de seguridad y protección de datos.
  • Informar a nuestros clientes en que condiciones nos comunicaremos con él. Por ejemplo, luego de una compra informarle si recibirán un e-mail nuestro u otros detalles, de esta forma el cliente si recibe un correo no informado podrá sospechar.
  • Nunca debemos solicitar datos bancarios por e-mail u otros sistemas, incluso es importante el uso de pasarelas de pagos seguras.
  • Garantizar la protección física de nuestros servidores.
  • Proteger nuestros servidores de ataques de DoS e Inyección SQL.
  • Garantizar la encriptación en el lado de nuestro cliente de datos sensibles.
  • Usar SSL en las comunicaciones donde se intercambia información sensible.
  • Promover el uso de programas antivirus en nuestros clientes.
  • Garantizar el uso de algún Certificado Digital que nos represente.

En este artículo analizamos algunos de los conceptos principales en el tema de la seguridad informática, así como vimos algunos de los ataques más frecuentes a nuestros clientes y posibles soluciones. Recomendamos además consulte 2 artículos sobre seguridad publicados anteriormente en nuestro portal:

La seguridad también es un tema de los diseñadores de páginas web (primera parte)

La seguridad también es un tema de los diseñadores de páginas web (segunda parte)

Publicado el 14/10/2011, última actualización 25/11/2011.

Licencia: Contenido exclusivo de LaWebera.es. Prohibida su copia

Autor: Ronald Baby González

URL: LaWebera.es :: Diseño Paginas Web

Añadir Comentario (Subir al texto)

1 Comentario

  1. Victor

    Muy buena información, gracias por compartir su experiencia, no tenia considerado algunos puntos pero ahora esta mas claro, continuaremos leyendo los otros dos articulos de seguridad

    Viernes, 18 de mayo 2012

(Subir al texto)

Añadir Comentario

* Campos obligatorios

Meneame Bitacoras