Kiara Mails Tips: 11 pasos clave para la ciberseguridad de tu E-Commerce

Una de las preocupaciones más apremiantes de un emprendedor digital, es cómo proteger su plataforma de venta. Cómo defender de posibles hackeos ese pequeño espacio online que es la fuente de sus ingresos. Por ello, en esta guía vamos a enseñarte todo lo que necesitas saber para tener un espacio online seguro y poder concentrarte en lo verdaderamente importante: ¡Hacer crecer tu negocio online!

Seguridad a Múltiples Niveles

Lo primero que debes saber es que hay diferentes tipos de medidas que se pueden tomar para garantizar la seguridad de tu espacio online. Las primeras son prácticas y las segundas técnicas. Las prácticas son decisiones eminentemente gerenciales y las técnicas requieren de conocimientos básicos de programación - algunas incluso de conocimientos intermedios o avanzados - o de contratar profesionales de confianza que puedan configurar estas barreras protectoras para ti.

Medidas prácticas de seguridad

Lo primero que debes entender es qué de lo que tienes en tu espacio online tiene valor. ¿Por qué? Porque eso es el tesoro que los hackers intentarán robar. En la inmensa mayoría de las tiendas online, el hackeo no va a terminar en una “orden de compra falsa” o en un producto “robado”. Es decir, a diferencia de una tienda física, en el espacio online el “ladrón” no roba el producto que ofreces. En el 99% de los casos, el hacker - el ladrón digital - va a robar información de tus clientes: sus datos personales, sus cuentas bancarias, sus números de tarjeta de crédito y los códigos de validación, o inclusive, los números de teléfono y direcciones físicas de tus clientes. Son estos los datos que el ciber criminal busca.

Así pues la primera medida es la más obvia:

• No almacenes datos de tus clientes que no necesites. Y como norma general, almacena lo mínimo y estrictamente necesario. No pueden robarte, si no tienes nada de valor. Es preferible que confíes el almacenamiento de datos bancarios y de datos fiscales a pasarelas de pago conocidas - como PayPal por ejemplo - o a soluciones integrales de e-commerce - como Shopify - que tiene sistemas propios de seguridad, experiencia y equipos de soporte capaces de hacer frente a ciberataques.

• Crea contraseñas complejas, más no largas. Una contraseña no tiene por qué ser necesariamente algo en plan “miconejo13enlasabanarealbetis2008”. Y al final es más fácil de descifrar que si creas una contraseña con números, símbolos y caracteres en altas y bajas. Es la complejidad del registro lo que hace a la contraseña efectiva. Mezclar números con letras, caracteres y con variaciones de esos caracteres, crea un sin fin de posibilidades matemáticas de combinación, incrementando la complejidad de poder descifrarla usando programas de hackeo, key generators - pequeños robots que intentan descubrir la contraseña probando millones de combinaciones- y otras herramientas de dudosa reputación para descifrar claves.

De más está decir que no debes, por nada del mundo y bajo ningún concepto, colocar cosas que tengan que ver con tu persona, tu empresa, o cualquier otro dato que sea público o fácil de conseguir en las redes sociales o páginas de contacto en la web. Más contraseñas se han descifrado mirando con detenimiento una página de Facebook o una cuenta de Instagram, que las que se han “adivinado”. Si necesitas ayuda, Shopify ofrece una simple guía que ayuda a configurar las constraseñas de tu tienda online.

• Cambia el nombre de usuario del administrador a algo que no sea “admin”. Todos los hackers del planeta Tierra y sus alrededores, saben que la inmensa mayoría de los usuarios administradores tienen como nombre: admin. Por tanto, si lo mantienes así - por default diríamos - ya el hacker tiene la mitad del trabajo hecho. Lo único que le queda por descubrir es la contraseña. Cambia eso a la brevedad posible.

• Realiza chequeos de enlaces cada 48 o 72 horas. Estos chequeos te permiten confirmar a dónde redirigen los enlaces de tu página. Esto es vital porque una de las formas de hackeo más comunes es precisamente intervenir un enlace con algún tipo de malware - código malicioso o programas maliciosos que se instalan en tu servidor o modifican el software que hayas usado para crear tu blog: Wordpress, Blogger, Wix, Tumbler etc - y secuestran el enlace, redireccionando a tu cliente a otra página, a otra pasarela de pago o a otro dominio. Imagínatelo así: Tu cliente decide comprar tu producto, hace click en el botón de añadir al carrito y termina en otra tienda de la competencia que le agregó el mismo producto a otro carrito, en otro blog, y con otra empresa. O peor aún, tu cliente hace click en pagar, y termina redirigido a una pasarela de pago de un cibercriminal.

El proceso para evitar esto es un tanto tedioso, aunque muy sencillo: Haz una lista de todos los enlaces de tu blog o espacio online, es decir de todos los links que llevan a las personas a todas las partes de tu blog o espacio online, o que las redirigen hacia pasarelas de pago externas o enlaces externos - normalmente, esto lo vas a tener si cuando creaste tu blog o cuando te lo crearon, te dieron un mapa del sitio - y luego cada dos días, abre uno por uno los enlaces, revisando que efectivamente lleven al sitio que deben llevar. Si algo no está bien, si te redirige a otro sitio, o si salta un pop-up, ya sabes que puedes tener un problema de infestación de malware o un hackeo. Si eso sucede, corta el enlace y busca ayuda técnica de inmediato.

Medidas técnicas de seguridad

Entrando en la Mátrix

Existen otras medidas que pueden ayudarte a prevenir el hackeo de tu blog, y si cabe, estas son en realidad las más efectivas; pero requerirán de ti un conocimiento de programación leve a moderado o que, en su defecto, busques asistencia profesional.

Eso es precisamente lo que hemos hecho para ofrecerte esta guía y para ello, hemos recurrido a Anibal Álvarez, un programador, desarrollador de CRMs (Customer-relationship management and Computer Software) y experto en TICs (Tecnología de la Información y la Comunicación) que nos ha dado siete pasos clave para defenderte de posibles hackeos:

• Usa siempre software actualizado. El desarrollo de páginas web hoy en día se rige por el estándar de HTML 5, si es posible úsalo y mantén tu blog o espacio online con todas las actualizaciones al día. Esto te ayudará a eliminar potenciales vulnerabilidades en Java, que es una de las fuentes de problemas más comunes. Evita también, en lo posible, trabajar con Adobe Flash. Si te ves en la necesidad de usar Adobe y Flash, aplícale los parches más actuales de manera regular, de forma que tengas la certeza de contar con la versión más segura.

• Comprende, almacena apropiadamente y gestiona de acuerdo a la legislación de tu nación los diferentes tipos de datos que tengas, producto de tu actividad comercial. Lo primero que hay que saber es que al hablar de seguridad en el comercio online, hay varios niveles de acuerdo al tipo de datos que se están procesando, o el tipo de proceso que se está llevando a cabo.

El comercio online no siempre implica procesar el pago, pero sí llevar a cabo la operación de venta. Aunque no se procese el pago online, muy seguramente se generará una orden de compra y para eso la plataforma recopilará datos del cliente. Esta diferencia es crucial, entre los datos del cliente y los datos para el pago, porque no necesariamente se almacenen en simultáneo ni en la misma aplicación.

Generalmente, y contrario a lo que podría esperar la mayoría de los usuarios, los comercios online no procesan pagos en sus propias aplicaciones, sino que se limitan a llevar la contabilidad del negocio. Es decir, muestran los productos, fijan los inventarios y reciben información de los procesadores de pagos sobre el resultado de la operación financiera que ellos manejan (cobro con tarjeta de crédito, transferencias o cargos a cuentas bancarias, descuentos de balances en monedas virtuales, etc.). Esta información debe estar almacenada en bases de datos diferentes, no relacionadas de manera directa, lo cual impide al potencial hacker comprender qué dato pertenece a qué cliente y hacer uso de los mismos.

• Recomienda a tus clientes procesar las compras solamente en equipos electrónicos de su propiedad. PCs, dispositivos móviles y puntos de venta conocidos, puesto que cualquier otro podría estar intervenido por algún software capaz de capturar la información que se ingresa a través de los periféricos: teclado, mouse, lectores láser, pantalla táctil, etc.

La misma recomendación se aplica al emprendedor: Nunca jamás accedas a tu portal online, o bases de datos sobre tu cliente, o a cualquier parte de tu blog, desde un equipo que no sea tuyo. No uses computadores de amigos, familiares o vecinos. Ni teléfonos, ni dispositivos portátiles que no te pertenezcan y que tengas actualizados y con sus protecciones al día.

• Intenta establecer, siempre que sea posible, procesos de autenticación en dos pasos. La autenticación en dos pasos implica la necesidad de que el usuario confirme su identidad suministrando datos provenientes de dos fuentes distintas que, en teoría, deben estar bajo su control exclusivo. Ejemplo: Ingresar una contraseña y luego un código de seguridad enviado al correo del cliente o vía SMS. De esta manera, cualquier pirata informático ya no requeriría acceder a una plataforma sino a dos, y la segunda seguramente cuente con sistemas de seguridad más complejos (como Gmail) o con barreras físicas (acceso al dispositivo móvil).

• Si tu plataforma está montada sobre WordPress activa las WordPress Security Keys. Las WordPress Security Keys trabajan en combinación con las cookies, garantizando que los accesos sean realizados por las personas verdaderamente autorizadas, desde los dispositivos realmente usados de manera regular para realizar los accesos. Para activarlas necesitarás primero usar el generador automático de llaves - key-generator - que el propio WordPress pone a disposición de los usuarios. Una vez generadas las llaves es necesario ir a wp-config.php, encontrar allí las siguientes líneas y reemplazarlas con los códigos creados por el generador: define(‘AUTH_KEY’, ‘código del generador’); define(‘SECURE_AUTH_KEY’, ‘código del generador’); define(‘LOGGED_IN_KEY’, ‘código del generador’); define(‘NONCE_KEY’, ‘código del generador’);

• Activa los certificados SSL. Los certificados SSL son el estándar universal cuando se trata de proteger las transacciones en línea. El certificado SSL autentica la identidad de los usuarios y encripta los datos durante el almacenamiento y el tránsito.

La implementación de SSL es esencial para que los sitios web de comercio electrónico establezcan una conectividad segura entre los sistemas del usuario final y su sitio web.

Shopify proporciona protocolos de seguridad SSL a tu tienda después de que se haya agregado correctamente tu dominio personalizado. Para mejorar la seguridad, los protocolos de seguridad SSL cifran el contenido de tu tienda y lo publican de forma segura utilizando HTTPS en lugar de HTTP.

Además de sus funciones prácticas, los certificados SSL generan confianza entre los potenciales compradores. El ícono de candado con HTTPS en la barra de direcciones se ha convertido en un requisito previo esencial para que una persona esté dispuesta a proporcionar sus datos personales y la información de su tarjeta de crédito. Si los consumidores creen que un vendedor está haciendo todo lo posible para asegurar sus transacciones, es más probable que hagan negocios con ellos.

• Intenta en la medida de lo posible trabajar usando un VPN. Los servicios de VPN ya traen, de por sí mismos, sistemas de encriptación y protección de transferencia de datos. Esto es clave para poder garantizar una capa extra de protección entre los hackers y el corazón de tu tienda online: tu servidor.

Recuerda también que una de las claves para evitar hackeos, es trabajar con profesionales: Usa plataformas de e-commerce de comprobada reputación y trabaja exclusivamente con pasarelas de pago internacionales que sean conocidas y aceptadas por los grandes bancos. Ese criterio, en combinación con esta guía con 11 pasos claros: cuatro de ellos prácticos y otros siete técnicos, te colocará sin duda alguna entre el percentil superior de sitios web que son verdaderas fortaleza, garantizando que puedas dedicarte, sin mayores preocupaciones, a trabajar en lo verdaderamente importante: hacer crecer tu negocio online.