sea-logo

Seguridad en América | Post

de Mónica Ramos / Staff Seguridad en América fecha 11 ene 2023

SEGURIDAD EN E-COMMERCE: RIESGOS VS. PREVENCIÓN

El robo de datos, el Spoofing, el Smishing, y el Phishing son sólo algunos de los riesgos en el comercio electrónico que pueden generar pérdidas millonarias o provocar la extinción de las empresas 

El comercio en línea tuvo una gran estimulación a causa de la pandemia por COVID-19, sin embargo, con el paso del tiempo y la adopción de este, método de compra, los comercios y los usuarios lo han ido colocando como una actividad cotidiana en su día a día. Brasil es uno de los países de Latinoamérica con más auge en el e-commerce, tan sólo en el año 2021, las ventas online alcanzaron los 41 mil millones de dólares y se prevé que la cifra se duplique para 20251.

Si bien en un principio las compras en línea aumentaron por necesidad básica, es decir, compra de alimentos y productos para el hogar, una vez que disminuyeron los contagios y se fueron reactivando las industrias, los usuarios de Internet, se quedaron con esta práctica para cualquier servicio u objeto que necesitaran, y gracias a las plataformas que se han vuelto cada vez más amigables y que mejoran la experiencia de usuario, el comercio en línea sigue en aumento.

México ocupa el segundo lugar en América Latina en compras en línea (34 mil millones de dólares en 2021). Plataformas como Mercado Libre, han ayudado a estas estadísticas; creada en Argentina, esta tienda virtual generó más de 2 mil 100 millones de dólares tan sólo en el cuarto trimestre de 2021, convirtiéndose en el cuarto marketplace online más importante del mundo y líder en México y América Latina.

Pero no todo lo que ha incrementado son ganancias, las pérdidas por fraude virtual y robo de información de Tarjetas de Crédito (TDC) son la pandemia del mundo digital actual. Es por ello que realizamos una serie de entrevistas con expertos en el tema, para analizar y entender cuáles son los riesgos del e-commerce y cómo se pueden contrarrestar.

EVOLUCIÓN DEL E-COMMERCE VS. CIBERDELINCUENCIA
De acuerdo con datos de la Asociación Mexicana de Venta Online (AMVO), el valor del comercio electrónico en México en el año 2021 fue de 401 mil millones de pesos (21 mil millones de dólares aprox.), un número aún bajo en comparación con otros países como Estados Unidos en donde las ventas en línea ese mismo año representaron el 20% de las ventas totales de retail; en Europa cerca del 25%, y más del 50% en la región de Asia-Pacífico.  

El crecimiento principalmente en países de América Latina ha sido notorio, cada vez más empresas de retail se unen a este método de compra (o venta), y se ve reflejado sobre todo en las ventas especiales como El Buen Fin, o las ventas de fin de año, pero qué sucede con los riesgos de seguridad en el mundo virtual, ante mayor demanda, mayor oportunidad, no sólo para las empresas.

“Los ciberdelincuentes sin duda alguna aprovecharon que muchas empresas no tenían bien establecido su e-commerce durante la pandemia, la cual aceleró esta digitalización y grandes marcas que aún no lo tenían implementado el comercio electrónico tuvieron que hacerlo, pero ese desconocimiento del mercado, significó una oportunidad a través de prácticas como el phishing, smishing, poofing, y otros, para obtener datos confidenciales de las Tarjetas de Crédito (TDC) de los usuarios y robar información y dinero”, comentó Gigi Agassini, Certified Protection Professional (CPP).

Más adelante hablaremos sobre algunos de estos riesgos cibernéticos que están atacando a la industria del retail, del e-commerce y por supuesto generando grandes pérdidas. La experta en ciberseguridad Gigi, nos dio algunos ejemplos de cómo funciona o a cuánto equivale en dólares, la información de las personas. 
Una tarjeta de crédito en la dark web oscila entre los 50 centavos de dólar hasta 20 dólares, por lo que las ganancias están medidas por volumen, es decir grandes bases de datos, aunque para cada individuo la cantidad que le sea robada será un terrible suceso.

“Los ciberdelincuentes actúan a través de una cadena, roban bases de datos de un comercio electrónico que tiene toda la información de sus clientes, de sus tarjetas bancarias, y venden esas bases por volumen. Y el monto además oscila dependiendo de si la tarjeta que vas a vender tiene por ejemplo el código de verificación y también va relacionado a cuánto dinero es lo que tiene la tarjeta de crédito, en eso se basa la fluctuación del robo de información y TDC en línea”, explicó.

La desconfianza que hasta hace unos cuatro años atrás existía para ciertos grupos de personas sobre las compras en línea, fue disminuyendo por el uso continuo de las plataformas durante la pandemia, situación que tanto los retailers como los ciberdelincuentes notaron. 

“El robo de información y el fraude electrónico son delitos que desafortunadamente van en aumento, las personas que caen más en estos fraudes tienen edades entre los 30 y 39 años, seguidos por personas de entre 40 y 49 años de edad. En el último año y medio, el robo a las personas de la tercera edad se ha incrementado, las tácticas son las mismas, pero ahora los sitios web son más idénticos a los reales y ese es un gran riesgo. Además de que la ciberdelincuencia, aprovechó la pandemia para expandir sus fraudes a través de links y enlaces con supuesta información noticiosa con temas sobre dónde acudir a colocarse la vacuna contra COVID-19, los contagios del día a día, entre otras”, señaló Gigi Agassini.

La experta nos compartió un dato alarmante, pues solamente en Estados Unidos, por citar un ejemplo, las pérdidas a través del incremento del cibercrimen, le costaron en el 2020 a dicho país, 56 billones de dólares en pérdidas. Esas pérdidas son tanto para las empresas y el gobierno como para cada individuo y representan también un daño a la imagen empresarial, situación que puede costar hasta la extinción de la empresa. El cibercrimen se ha incrementado, en parte, por esa falta de cultura de prevención en el mundo virtual, por no considerar las pérdidas posibles al ser un mundo intangible (no físico).

“México ocupa a nivel global el tercer lugar en robo de información y fraude, ahí hay una gran área de oportunidad para proteger mejor nuestros datos”, comentó Gigi Agassini.
Por su parte, Guillermo Rossette Aguilar, gerente nacional de Prevención de Pérdidas en Mercado Libre México, considera que el reto principal del e-commerce, es caminar en paralelo con el equipo directivo sobre la estrategia del negocio con la finalidad de adecuar la estrategia de seguridad. 

“En el e-commerce, es importante ser consciente de que nuestro actuar como especialistas en seguridad y gestión de riesgos es fundamental para asegurar la mejor experiencia de compra para nuestros clientes. En Mercado Libre contamos con un sistema de seguridad enfocado en proteger tres pilares principales:

1)  Producto.
2)  Gente.
3)  Información.

Estos pilares nos rigen para tener una directriz base que nos permita tomar las decisiones correctas en términos de seguridad”, explicó.

PRINCIPALES RIESGOS
Retomando información de la AMVO, en 2022 se estimó que el 76.5% de las empresas invertirían en sus plataformas de e-commerce, sin embargo, tan sólo un 28.7% lo haría en protección contra fraude, esa ausencia de prevención se ha convertido en el principal riesgo del comercio en línea. Gigi Agassini considera los siguientes riesgos actuales en el e-commerce:

  • Robo de datos.
  • Robo de información crediticia.
  • Spoofing (usurpación de identidad electrónica).
  • Smishing (obtención de información privada a través de mensaje de texto o SMS).
  • Phishing (propagandas fraudulentas por WhatsApp o correo electrónico que simulan el sitio web de empresas que ofrecen ofertas, ingresa sus datos de TDC y se realiza el fraude o robo).
     

Las plataformas de venta en línea se han ido adaptando cada vez más a la experiencia y satisfacción del usuario, dependiendo de dónde se esté visualizando el sitio web, para ello existen estadísticas puntuales sobre cuántas personas ingresan a Internet desde una computadora de escritorio, una laptop, una tableta o un celular, detalle que también tienen en cuenta los ciberdelincuentes.

Con datos del informe “Digital 2022” realizado por We Are Social y Hootsuite, “el número de usuarios de Internet en el mundo alcanzó los 4 mil 950 millones de personas, lo que representa al 62.5% de la población mundial (7.910 millones de personas)... En cuanto a los usuarios de Internet en dispositivos móviles, en enero de 2022 alcanzaron al 67.1% de la población, es decir, 5 mil 310 millones de personas, lo que representa un incremento del 1.8% interanual, y para tener mayor contexto sobre esta cifra, es un incremento de 95 millones de usuarios en los últimos 12 meses”2.

“Debemos entender que el e-commerce se refiere a la compra y venta de mercancía a través de Internet, lo cual implica diversos problemas, entre ellos la publicidad engañosa o mal intencionada, las ofertas que el fabricante puede realizar y que pueden no ser ciertas para el usuario final, el papel que juegan los influencers en dicho tema, el cual puede ser falso. Siempre se recomienda al usuario final comprar de forma segura, validar que las ofertas sean reales, debemos poner foco en ofertas que sean muy por abajo del precio, lo cual genera sospecha de fraude, recordemos que algo que sea muy bueno y que tenga bajo precio, puede ser una estafa”, comentó Víctor Díaz Bañales, socio director de RAMDIA.

Empresas como Mercado Libre, están conscientes de los riesgos de la ciberdelincuencia, de las consecuencias y que no sólo son responsabilidad del usuario que cae con engaños y descuidos ante tales estafas, sino también de la tienda en línea y del marco legal de cada país.

  • “En Mercado Libre creemos que la formalidad y la seguridad jurídica son pilares de la inclusión y el desarrollo. Como ciudadanos corporativos, cumplimos estrictamente con los marcos legales de los distintos países y nos esforzamos para evitar o minimizar conductas inadecuadas en nuestras plataformas. En nuestro marketplace siempre explicamos con claridad cuáles son los derechos y las responsabilidades de los vendedores, los compradores y los usuarios de nuestro ecosistema  así como nuestras políticas sobre artículos y actividades prohibidas. Para Mercado Libre, la transparencia es clave para ayudar a los usuarios a tomar decisiones informadas sobre los servicios que utilizan”, expresó Guillermo Rossette.

    HERRAMIENTAS DE SEGURIDAD PARA EL COMPRADOR
    Los expertos en seguridad y ciberseguridad están en constante profesionalización para estar un paso adelante de la delincuencia, a continuación nuestra experta Gigi Agassini comparte los 5 tips para el usuario final del e-commerce para que sus compras sean seguras:
     
  • Sea muy cuidadoso con la información que recibe en WhatsApp, SMS o por correo electrónico, observe detenidamente las ofertas que recibe en línea, en el teléfono móvil, verifique que realmente sea la tienda original, no abra todo lo que recibe. Verifique la URL (https://).
  • Sea desconfiado con todo lo que reciba vía SMS, WhatsApp o correo. Revise faltas de ortografía, ponga el cursor en el link antes de dar clic, no abra nada, no descargue nada sin verificar la información, primero, en la página web oficial del comercio y verifique si realmente hay alguna oferta, o bien, puede marcar al teléfono que ahí viene, pedir información al Call Center o en sus redes sociales oficiales. 
  • Al momento de hacer la transacción, cuente con una conexión segura, no lo haga a través de una red wifi pública, puesto que seguramente no tendrá protección y sus datos estarán comprometidos. 
  • Verifique la información del vendedor, que el sitio sea correcto. Hoy en día la ciberdelincuencia está haciendo lo posible para comprometer la seguridad del usuario, las páginas, los links cada vez son más parecidos a las reales, simulan los candados que anteriormente ayudaban a saber que era un sitio seguro. 
  • A la hora de pagar, es importante leer antes la política de privacidad, ahí nos va a mencionar cómo están ellos gestionado nuestros datos, nuestra información personal, porque ahí en las letras chiquitas dice si pueden o no compartir nuestra información, y el problema es cuando se vulneran esos sitios y nuestra información queda comprometida, y si no estás de acuerdo, mi recomendación es no continuar. 
  • Gigi comentó que la ciberdelincuencia tiene dos cosas de manera ilimitada: tiempo y recursos. Ellos buscan, analizan y se actualizan para que sus estafas sean mucho más fáciles y creíbles. Y muy importante no guardar de forma automática las contraseñas o los datos bancarios en las plataformas de e-commerce. Así como el tener un antivirus tanto en el celular como en la computadora o dispositivo inteligente. 
  • “Las recomendaciones anteriores, conjugadas con una conexión segura a Internet, más el uso de una VPN, más el uso de un antivirus con detección de malware, ayudarán a reducir por mucho el que tu información pueda ser vulnerada”, puntualizó.

Herramientas de seguridad para el comercio en línea

La cultura de seguridad en general es un tema que hace falta implementar y adoptar en muchos países, ahora el tema de ciberseguridad tiene más lagunas pese a que el uso del Internet es diario, en aumento y con poca prevención. Después de revisar las recomendaciones de los expertos a los usuarios del e-commerce, ahora vamos con las estrategias de seguridad para los comercios con tienda virtual.

“El e-commerce debe protegerse de forma integral, la primera línea de defensa es proteger su código, el cual en diversas ocasiones puede ser modificado por terceros y generar ofertas válidas, es decir hemos tenido casos de empresas que son atacadas y alteran el código relacionado con los precios y publican teléfonos o laptops en precios muy bajos, los cuales deben ser respetados por el vendedor, es decir si una empresa X publica un teléfono X en 1 peso, debe venderlo y entregarlo por dicho precio, de lo contrario tendrá problemas con las autoridades pertinentes”, comentó Víctor Díaz Bañales.

En el caso de Mercado Libre, la política de venta es más estricta para que los usuarios se sientan más seguros al momento de comprar. “Contamos con los más altos estándares de seguridad de la industria con diversas formas de proteger a nuestros usuarios a la hora de hacer una compra, que van desde el bloqueo de publicaciones ilícitas, prohibición de venta de los artículos que infringen los derechos de titulares de propiedad intelectual, hasta la protección de datos personales, entre otros. Esto gracias a nuestro mecanismo de identificación de prevención de fraude, el cual está 24/7 atendiendo diversas eventualidades y que cuenta con algoritmos sumamente avanzados para la oportuna identificación de riesgos” explicó Guillermo Rossette.

Además de que la empresa no permite productos y servicios que estén prohibidos por sus Términos y Condiciones o por imposición legal. Con sus algoritmos y una constante innovación en su plataforma, supervisan constantemente el contenido para brindar una experiencia segura y confiable a sus usuarios, al tiempo que reducen su exposición a publicaciones que atenten contra ese objetivo, explicó el experto.

Así como se incrementó la venta en línea, también las empresas de paquetería aumentaron sus servicios o se crearon nuevas compañías; hasta que el comprador recibe y verifica que lo entregado por la paquetería es lo que solicitó y está satisfecho, hasta ese momento se libera el pago, ¿pero cómo garantiza el comercio el servicio de un tercer participante que es la paquetería?

“Lo más importante para nosotros es la satisfacción de nuestros clientes que utilizan Mercado Libre, los sellers y todos los actores que forman parte de nuestra cadena logística. Con la infraestructura y los procesos de nuestros centros de distribución hacemos de la logística un proceso más ágil y eficiente para que nuestros usuarios tengan una compra y recepción segura. 

Por tal motivo, tenemos estrategias que protegen el producto mediante la trazabilidad punto a punto de la vida del paquete, controles físicos para prevenir el robo interno y un sistema de monitoreo para las rutas en calle que dan protección a nuestros conductores y la carga. De igual forma, la relación con asociaciones y autoridades nos ha dado la tranquilidad de expandirnos en zonas de complejo alcance y con la certeza de llevar protegido a nuestros colaboradores y sus compras”, detalló Guillermo.

BÁSICOS PARA UNA TIENDA EN LÍNEA
Para evitar ser presa de la ciberdelincuencia, es mejor estar preparado y prevenido ante cualquier posible ataque, por ende estas medidas de seguridad lograrán la confianza del comprador, empezando con acciones sencillas. 

“Primero comenzaría con los básicos, que es cumplir con que la empresa debe informar sobre su identidad, nominación legal, ubicación, contacto, todo en su página web, para que el consumidor en caso de hacer una reclamación o verificación, pueda tener acceso a esta información. Debe tener sus políticas de privacidad, qué información se va a recolectar, el uso y manejo de la misma y sobre todo preguntar al consumidor si está dispuesto a recibir información como ofertas especiales, etc.”, explicó Gigi Agassini.
Este es un tema muy importante, porque como usuario tenemos la responsabilidad de informarnos sobre cómo se usará los datos personales y confidenciales que ingresaremos, y precisamente debe venir en las Políticas de Privacidad, que muy pocas personas se toman el tiempo de leer y analizar.

“Las Políticas de Privacidad, señalan si se va a compartir nuestra información con terceros, ya que hay algunas marcas que son parte de un conglomerado de empresas y a veces se comparten las bases de datos. También el sitio web debe informar sobre si va a manejar cookies sin capacidad de verificación del usuario, o con capacidad de identificación del usuario, de ser así, en esta segunda tiene que ser muy claro en su política de privacidad y cuál es la información que va a retener. Unas dice que solamente por Performance, pero otras son más invasivas, identifican tus preferencias y trata de hacer el sitio con una experiencia más personalizada”, comentó Gigi.

En el caso del pago con TDC, la compañía debe cumplir con PCI DSS (Payment Card Industry Data Security Standard) que es el estándar de seguridad de datos para la industria del pago de tarjeta de crédito. Este fue desarrollado por un comité de las compañías de TDC y de débito, además hay un comité que se denomina PCI SSC (Payment Car Industry Security Standards Council), es decir que si eres un comercio que va a hacer operaciones a través de tarjetas de crédito debes cumplir con este estándar adicional de otros estándares, desarrollar y mantener un software seguro, que debe tener un programa de gestión de vulnerabilidades. 

Otros aspectos a considerar por parte de los comercios electrónicos es el proteger los datos de los propietarios de tarjetas y sobre todo implementar medidas sólidas de control de acceso, es decir restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información, monitorear tu sitio web y para eso Gigi Agassini recomendó algunas herramientas de seguridad:

  • Optimizer Robot, permite saber si la web ha tenido algún fallo o está inactiva.
  • DMARK, es un sistema de validación de correo electrónico, para detectar y prevenir las estafas por correo electrónico. Las estafas se hacen tanto al consumidor como a la tienda electrónica.
  • Uso de estándares. Por ejemplo el ISO 9001 referente a los sistemas de gestión de la calidad; cómo puedo asegurar los temas de calidad de mi tienda virtual. Debe tener certificados como el PCI, certificados HTTPS, SSL  (permite dar encriptación al momento del envío de una transacción electrónica en el sitio web). ISO 27001 (seguridad de la información), o el ISO 27005 que habla de riesgos de ciberseguridad en la protección de la información. 
  • Y cumplir, por ejemplo en México, con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares - LFPDPPP  (aplica para México) o la ley de protección de datos personales que aplique según el país que corresponda, toda esta información debe aparecer de forma pública en el sitio web, para darle mayor seguridad al usuario y que sepa que su información está tratada de manera responsable. De ahí la importancia del cumplimiento de los estándares para brindar mayor seguridad y reducir el riesgo. 
  • “Existen también herramientas de seguridad basadas en el diseño de la tienda electrónica, dónde va a estar ubicada, si en la Nube o de forma híbrida; es importante colocar ese tema en el aviso de políticas y privacidad. Por diseño debemos establecer ciertas reglas para proteger y brindar la continuidad de nuestra tienda virtual, políticas, cultura interna, herramientas. Por diseño hay muchas estrategias para esto, las cuales brindan los estándares.
  • Si eres una empresa de e-commerce, mira los estándares, dale autenticación y esa encriptación a la información de tus clientes, protege tu base de datos donde almacenas información delicada de tus clientes, ten una réplica en dado caso de que tengas algún problema, puedas darle continuidad a tu operación, y si sucede una intrusión, sé honesto, sé directo y lo más importante, avisa a tus usuarios”, puntualizó la CPP.

LA CIBERSEGURIDAD COMO UN ESTILO DE VIDA
El e-commerce llegó para quedarse, aunque ya existía hace varios años atrás, con la pandemia por COVID-19, países como Brasil, México, Chile incrementaron significativamente el uso de este método de compra. 

“Sin duda alguna la sociedad no volverá a ser la misma ante la pandemia y todos sus bemoles, la hiperconectividad y las nuevas tecnologías hicieron que la gente tuviera una mayor confianza y primeros acercamientos al tema de comercio electrónico, es decir jamás imaginamos que nuestros padres o abuelos pudiesen pedir el supermercado en línea, que las plataformas de servicio de transporte pudieran enviar paquetes a nuestros amigos y familiares, sin duda alguna la pandemia cambió la forma en que las generaciones interactúan con el comercio electrónico y los envíos”, comentó Víctor Díaz Bañales.

El experto también hizo un análisis sobre si esta transformación a lo virtual beneficia en su totalidad a las empresas, o bien les ha generado pérdidas , que de acuerdo de igual manera con Gigi Agassini, los riesgos de pérdidas están en la falta de una cultura de ciberseguridad.

“Los negocios existentes de e-commerce y los nuevos, tienen un gran desconocimiento en temas de ciberseguridad, muchos utilizan plataformas de código abierto las cuales son constantemente vulneradas y otros utilizan plataformas de paga pensando que no son vulnerables y es un error común, todas las plataformas están formadas por un conjunto de tecnologías las cuales pueden ser vulneradas a diversos vectores de ataques, el problema es el uso común de dichas plataformas las cuales pueden hacer vulnerables a muchos usuarios finales que las utilicen, es hora de que las empresas pongan el foco en el entorno digital”, señaló Díaz Bañales.

Sobre este tema, Gigi Agasini enumeró tres los principales riesgos actuales de la ciberseguridad:

Falta de cultura.

Falta de concientización.

El exceso de confianza a lo intangible. 

Adicional al phishing, ransomware, y la manera en que ahora están evolucionando los ataques cibernéticos. “Veo con mucha preocupación que crece mucho el ransomware, el robo de credenciales comprometidas, robo de identidad, el fraude, leí que en la dark web se está vendiendo por 4 millones de dólares el acceso a información de más de 527 empresas. El crimen cibernético a nivel global es más redituable por encima del narcotráfico, la trata de personas o la venta de armas. El costo pronosticado del crimen cibernético para 2025 es de 10.5 trillones de dólares, es decir hay una gran problemática frente a nosotros y seguimos viviendo en la negación de ‘a mí no me va a pasar’”, indicó Gigi.

Y es que pese a que seguimos viendo empresas de talla mundial que han sido vulneradas y muchas de ellas no han podido continuar, “estamos en una guerra cibernética, en una pandemia en el mundo digital, el cual converge con el mundo físico, pero como no lo palpamos es difícil para muchas personas aceptar que hay una problemática ahí. Hay que tener presente que la seguridad es una cultura, pero la ciberseguridad es un estilo de vida”, finalizó la experta.

Ropa, calzado, sartenes, fruteros, anillos, tapetes, libros, cámaras, micrófonos, camas para perros, autos, motos celulares, todo lo que se piense y se pueda comprar está ahí, en las tiendas virtuales, en el comercio electrónico, pero es importante crear una cultura preventiva para el uso de esas plataformas, y en dado caso de ser víctima de alguna estafa, avisar sobre ésta o si fue un ataque cibernético, que por desconocimiento o ignorancia, por ingenuidad o falta de prevención, cayó en esta mala acción y necesita informarlo, porque una empresa puede ahorrarse hasta un millón de dólares en costos, si es que se detecta el ataque cibernético en los primeros 30 días de que sucedió.

Según el reporte de IBM, hasta que te des cuenta de la brecha de información pueden pasar más de 200 días y dependiendo el tipo de ataque puede llevarte a más de 90 días, lo que significa que puede llevarte hasta un año el detectar una intrusión, un ataque, hasta contenerlo, y es por eso que muchos negocios quiebran, porque son pocas las empresas que toman con seriedad está problemática global y están tomando medidas al respecto. Piense dos veces antes de dar clic. 

Referencias

1 América Latina: ventas de comercio electrónico por país 2021-2025. Statista Research Department, 30 nov 2022 https://es.statista.com/estadisticas/1075464/america-latina-e-commerce-ventas/
2 El número de usuarios de internet en el mundo crece un 4% y roza los 5.000 millones (2022). Susan Galeano, 27/01/2022 Marketing4Ecommerce https://marketing4ecommerce.net/usuarios-de-internet-mundo/
 

Notas Fijadas

    Noticias relevantes

      Categorías