Concienciación y formación

Cuando se crea una tienda virtual es necesario adoptar una serie de medidas de protección específicas contra el fraude. Como responsables del servicio es necesario implementar todos los mecanismos de seguridad posibles que detecten y eviten el fraude y facilitar a los clientes herramientas que mantengan su seguridad en su trato con nosotros.

Para conseguir un nivel de ciberseguridad aceptable es necesario tomar medidas en áreas distintas como se describirá a continuación.

El empleado es el gran protagonista de la seguridad en las empresas. La tecnología es importante, pero no siempre es suficiente para proteger nuestros sistemas de información. La implicación y participación de todos los empleados, incluidos los de más nivel en la jerarquía de la em- presa, es esencial para llevar una gestión adecuada de la ciberseguridad en la empresa. Por este motivo concienciar y formar a los miembros de la organización, se convierte en una pieza clave del puzle de la ciberseguridad en la empresa.

En las organizaciones no suele existir un plan de concienciación ya sea por falta de recursos o por desconocimiento. Para solucionar este problema se hace imprescindible la puesta en marcha de un plan de concienciación y formación para los miembros de la organización. El plan de concienciación tiene como objetivo crear y catalizar una cultura de se- guridad dentro de la organización, de este modo se reducen los riesgos globales a los que se enfrenta una organización.

Configuraciones y actualizaciones

Pasarela de pago segura

Sistema que tienen las tiendas virtuales para aceptar los pagos por medio de tarjetas de crédito o débito. Es común que las proporcionen las entidades bancarias, recibiendo el nombre de «TPV virtual» o sim- plemente «TPV». La pasarela de pago que se implemente en la tienda debe de tener un certificado SSL de validación extendida, de esta ma- nera el cliente identificará la entidad bancaria a la que pertenece de manera inequívoca y sus datos bancarios viajarán cifrados.

Utilizar una pasarela de pago de una entidad bancaria hace que la tienda, al no tener acceso a los datos bancarios del cliente, no tiene la obligación de protegerlos como indica la LOPD (Ley Orgánica de Pro- tección de Datos).

Antes de implantar la pasarela de pago en la tienda virtual que se encuentra en producción es necesario realizar una serie de pruebas y configuraciones en «pre-producción» para comprobar su correcto funcionamiento y si no es así corregir los errores. Una vez que la pa- sarela de pago funciona correctamente es el momento de implemen- tarla en la tienda con acceso a internet, es decir, en pro-producción. La pasarela de pago que se implemente en la tienda debe de tener un área de administración propia o back-office desde donde poder con- sultar todos los accesos al TPV por parte de los clientes.

La pasarela de pago elegida debe tener unas medidas de seguridad antifraude, implementarlas es de gran importancia ya que de esta manera se reducen las posibles pérdidas económicas de la tienda virtual.
Las medidas necesarias de seguridad son:

CVV: código de tres dígitos visibles en la parte posterior de la tarje- ta junto a la banda magnética. Si solo se implementa esta medida de seguridad no se conseguirá la seguridad necesaria ya que el CVV está impreso en la tarjeta y cualquier persona que tenga acceso a ella tendrá acceso a la única medida de seguridad.

3DSecure: este sistema de seguridad está promovido por Visa y MasterCard y en un futuro será su utilización de obligado cumplimiento en toda transacción online. Al implementar el sistema 3DSecure en la pasarela de pago los negocios ya no son los responsables de las devoluciones a causa de las reclamaciones de fraude por parte de los propietarios de la tarjeta. Este sistema de verifica- ción transfiere la responsabilidad de una reclamación por fraude a la entidad que emitió la tarjeta. Es necesario confirmar los términos exactos en el desplazamiento de la responsabilidad con la entidad bancaria de la tienda virtual.

El sistema 3DSecure verifica que el cliente que está realizando la compra es el verdadero titular de la tarjeta. Antes de terminar el proceso de compra el cliente debe de introducir un numero PIN que solo él debe saber por lo que no podrá terminar el proceso de com- pra alguien que no sea su propietario.

El numero PIN pedido por el sistema 3DSecure puede ser de tres tipos dependiendo del protocolo de seguridad que tenga asignado la entidad bancaria propietaria de la tarjeta:

• número PIN de la tarjeta: el mismo número que solicitan los ca- jeros cuando se hace cualquier operación;
• número PIN específico: número PIN especial y que es necesario solicitar al banco emisor de la tarjeta. El uso de este número PIN es común en la banca online;
• número PIN enviado por SMS: número PIN enviado por mensaje de texto o SMS al teléfono del propietario de la tarjeta. Este nú- mero PIN es válido para un único uso.

La implantación de este sistema de seguridad en la pasarela de pago reduce drásticamente el número de transacciones fraudulentas. Esto supone otra ventaja y es que los administradores de la tienda tendrán que invertir menos tiempo en analizar las ventas producidas en busca de fraude ya que no habrá tanto riesgo.

Configuraciones y actualizaciones

Copias de seguridad

Una tienda virtual está formada por varios elementos, tanto software como hardware, que trabajando en conjunto hacen que la tienda cumpla sus funciones como mecanismo de comercio.

Para que la tienda virtual realice sus funciones de manera correcta es necesario adoptar una serie de medidas de seguridad. Las medidas de seguridad dotarán a la tienda de un nivel de seguridad aceptable tanto para el empresario como para sus clientes. A continuación se explican algunas de las medidas de seguridad para tiendas virtuales.

También conocido como backup, es una copia de los datos originales que se realiza con el fin de disponer de un sistema de respaldo en caso de pérdida, deterioro o robo de información. Dependiendo del tamaño de la empresa los soportes en los que se realizará la copia, la frecuencia y los procedimientos para realizarla serán distintos. Realizar copias de seguridad es importante para cualquier empresa y las tiendas de comercio electrónico no son una excepción. Un sistema de copias de seguridad puede hacer que una tienda que se ha visto afectada por un fallo de seguridad pueda recuperar su actividad diaria.

Por ejemplo una empresa que ha sido atacada por un cibercriminal y ha conseguido que ejecutar dentro de la empresa un virus del tipo rasomware. Este virus cifrará gran cantidad de in- formación perteneciente a la empresa pero no supondrá un problema grave, ya que al disponer de copias de seguridad se puede restaurar la in- formación cifrada. Gracias al sistema de copias de seguridad la empresa no tuvo grandes pérdidas económicas y de información lo que permitió a la empresa continuar con su actividad comercial.

Los soportes en los que se pueden realizar copias de seguridad son variados, el soporte escogido dependerá del sistema de copias que se elija, de la fiabilidad que se necesita y de la inversión económica que se quiera realizar. Los más utilizados son:
unidades USB y discos duros portátiles

• discos duros de equipos específicos
• cintas de seguridad
• soportes ópticos como DVD o CD
• almacenamiento de copias en la nube

A la hora de implantar un sistema de copias de seguridad es necesario tener en cuenta estas características:

Analizar la información de la que se realizará la copia descartando toda la información que carezca de relevancia. Es necesario incluir todos los equipos de la organización.

Definir el número de versiones que se almacenará de cada elemento y su periodo de conservación, esta forma de actuar se la conoce como política de copias de seguridad. Esta política dependerá del tamaño de la organización y del volumen de información que maneje.

Otro punto importante es la realización de pruebas de restauración, ya que si las copias realizadas son inaccesibles o se encuentran dañadas, un sistema de pruebas resolvería este problema.

Control de los soportes donde se realiza la copia, etiquetando y registrando la ubicación de los soportes. También hay que llevar un control de la vida útil del soporte. Si la información almacenada en la copia es confidencial es necesario valorar la posibilidad de cifrar las copias.

Documentar el proceso de realización y restauración de las copias. En caso de utilizar almacenamiento en la nube hay que contar con la posibilidad de no tener conexión a internet además de estar informado en cuanto a las políticas de privacidad y seguridad en caso de almacenar datos sensibles.

Configuraciones y actualizaciones

Una tienda virtual está formada por varios elementos, tanto software como hardware, que trabajando en conjunto hacen que la tienda cumpla sus funciones como mecanismo de comercio.

Para que la tienda virtual realice sus funciones de manera correcta es necesario adoptar una serie de medidas de seguridad. Las medidas de seguridad dotarán a la tienda de un nivel de seguridad aceptable tanto para el empresario como para sus clientes. A continuación se explican algunas de las medidas de seguridad para tiendas virtuales.

Certificado SSL

Disponer de un certificado SSL (Secure Socket Layer) instalado proporciona una serie de ventajas:

Permite identificar del sitio web de forma inequívoca.

La información transmitida entre el navegador del cliente y el servidor donde está alojada la tienda virtual viaja cifrada por lo que es ilegible si se intercepta.

La información se transmite de forma íntegra y si se produce una modificación o pérdida de información esta se podrá identificar y descartar.

Para que el navegador que usa el cliente reconozca el certificado es necesario que lo proporcione una autoridad de certificación reconocida.

Estas autoridades garantizan la legitimidad del certificado por medio de controles de seguridad y verificaciones. Si el certificado no está emitido por una autoridad de certificación el navegador web del cliente le avisara de que está intentando acceder a un sitio web que no se ha podido verificar su legitimidad.

Existen principalmente tres tipos de certificados:

Certificados autofirmados: este tipo de certificados no han sido emitidos por una autoridad certificadora de confianza por lo que aunque la dirección comience por https el navegador web del cliente no podrá reconocer la legitimidad del sitio web avisando al usuario de que está entrando en un sitio web no confiable. Instalar este tipo de certificados no es recomendable para tiendas virtuales en producción.

Certificados sin validación extendida: este tipo de certificados son emitidos por una autoridad de certificación reconocida por lo que el navegador web del cliente no lanzará ninguna alerta. Cuando se conecta un cliente a una web con este tipo de certificado la dirección comienza con https y a su lado se encuentr a un candado.

Certificados con validación extendida: este tipo de certificados, como el anterior, son emitidos por una autoridad certificadora reconocida y al igual que el anterior el navegador web del cliente no lanzara ninguna alerta al usuario. Los certificados con validación extendida otorgan las máximas garantías de conexión lo que aumenta la confianza de los usuarios. Cuando un cliente se conecta a una página web con un certificado SSL de validación extendida además de ver que la dirección comienza por https y que hay un candado a su lado, también verá una barra verde que identifica a la organización a la que pertenece.

Aunque tener instalado un certificado SSL en la tienda virtual no es un requisito imprescindible, sí que es recomendable que la pasarela de pago lo tenga implementado, ya que en este paso se transmite información sensible de los clientes como es su número de tarjeta.

Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.

Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.
A continuación se describirán las principales ciberamenazas que utilizan los delincuentes, diferenciando si el vector de ataque son las personas o el sistema.

3.3 Ataques dirigidos contra el sistemas o las personas

Este tipo de ciberamenazas combinan las dos vías de entrada descritas anteriormente. Los ciberdelincuentes ponen en riesgo los portales de comercio electrónico, valiéndose tanto de ataques contra el sistema como de ataques contra las personas. En función de la vía de entrada elegida el ataque tendrá unas consecuencias u otras Ilustración 8 Ciberamenazas contra sistema y personas como se explicará a continuación.

3.3.1 Phishing

Phishing es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta. Una vez que los cibercriminales obtienen la información la usarán para cometer cualquier tipo de fraude.

El phishing como la mayoría de las ciberamenazas se realiza utilizando técnicas de ingeniería social persuadiendo al usuario para que realice una acción que será perjudicial para la víctima.

Phishing realizado contra los miembros de la organización El phishing realizado contra los miembros de la organización es común que se realice por medio del envío masivo de correos electrónicos. Estos correos masivos suelen incluir enlaces a páginas web falsas, propiedad del estafador. Estas páginas webs falsas, pedirán información confidencial a la víctima alegando que se está realizando cualquier tipo de mantenimiento o que se ha realizado un cargo en su cuenta entre otros tipos de engaños. El phishing también puede realizarse utilizando otros medios como una llamada telefónica, mensajes de texto o SMS (smishing), redes sociales, mensajería instantánea, etc.

En este ejemplo de un phishing por correo electrónico realizado a un conocido banco se pide al usuario que haga click en el enlace adjunto. Alegando que se ha producido actividad inusual en la cuenta y que la han bloqueado. Una vez que la víctima cae en el engaño y hace
click en el enlace adjunto esta será redirigida a una página web fraudulenta con la misma estética que la página web original. Una vez que la víctima es redirigida a la web fraudulenta se la pedirá que se autentifique por medio de su DNI (Documento Nacional de Identidad) y clave de acceso.

Una vez que la víctima es validada se la pedirá que introduzca los datos de su tarjeta de crédito.

Cuando ha terminado de introducir los datos la víctima es redirigida a la web oficial del banco por lo que esta no será consciente de que la han robado información confidencial.

Phishing alojado en el sistema

El phishing alojado el sistema informático de una tienda virtual tiene un objetivo muy distinto al realizado contra las personas. Mientras que el ejemplo anterior tenía como objetivo el robo de información confidencial el phishing alojado en el software de la organización tiene como objetivo alojar las campañas fraudulentas en los servidores de la empresa.
Para acceder al sistema informático de la organización el cibercriminal explota vulnerabilidades del software de la tienda virtual debido a malas configuraciones o falta de actualizaciones del sistema. También puede acceder por medio de cualquier técnica descrita en los ataques realizados contra las personas.

Una vez que ha conseguido acceder por ejemplo al servidor web de la organización almacenará la página web fraudulenta de la entidad a la que está suplantando. Utilizando esta técnica el ciberdelincuente se aprovecha de la capacidad computacional de la organización para perpetrar sus delitos.

3.3.2 Defacement

El objetivo de este tipo de ataque, independientemente de la forma en que es llevado a cabo, es modificar una página web total o parcialmente.

Para ello pueden acceder al gestor de contenidos o el servidor web de la organización por medio de dos vías de entrada como es el personal de la organización o el sistema informático que da soporte a la tienda virtual. Defacement realizado contra los miembros de la organización En este caso el cibercriminal accede a la organización gracias a una mala forma de actuar de alguno de los miembros de la organización.

El delincuente consigue acceder a la tienda virtual generalmente utilizando técnicas de ingeniería social, phishing o malware o una combinación de ambas. Por medio de las técnicas anteriores obtendrá las credenciales necesarias para acceder a la tienda virtual y poder cometer el delito.
Defacement realizado contra el sistema En este caso el cibercriminal explota vulnerabilidades de la tienda virtual debido a malas configuraciones o falta de actualizaciones.

Un gestor de contenidos desactualizado o mal configurado podría ser una vía de entrada a la tienda virtual por parte del cibercriminal. En la mayoría de las ocasiones suelen modificar textos o incluir imágenes llamativas en la página principal de la web víctima. Las motivaciones pueden ser varias, pero el principal denominador común es que tienen carácter reivindicativo (político, sociocultural, publicidad de un grupo de ciberdelincuentes,…) además de dañar la imagen corporativa de la entidad. En algunos casos un cibercriminal realiza este tipo de ataque por motivos económicos.

Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.

Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.
A continuación se describirán las principales ciberamenazas que utilizan los delincuentes, diferenciando si el vector de ataque son las personas o el sistema.

3.1 Ataques dirigidos contra los sistemas

En este tipo de amenazas el ciberdelincuente busca explotar vulnerabilidades relacionadas con el software que da soporte a la tienda virtual como es el gestor de contenidos o el servidor web donde está alojada la tienda entre otros.
Este tipo de vulnerabilidades se debe normalmente a malas configuraciones o falta de actualizaciones por parte del software que conforma la tienda virtual.

A continuación se describirán las principales vulnerabilidades que los cibercriminales explotan en su beneficio:

Pago con tarjeta robada: este tipo de fraude consiste en que un ciberdelincuente utiliza el número de una tarjeta, bien obtenido de la tarjeta física o robando la misma, para realizar compras en la tienda virtual.

Malware: palabra que nace de la unión de los términos software malintencionado «malicious software». Dentro de esta definición tiene cabida un amplio elenco de programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc. La nota común a todos estos programas es su carácter dañino o lesivo. Los ciberdelincuentes en ocasiones utilizan servidores o páginas web vulneradas para distribuir malware sin que el propietario tenga conocimiento de ello.

Cross-Site Scripting «XSS»: brecha de seguridad que se produce en páginas web generadas dinámicamente. En un ataque por XSS, una aplicación Web envía con un script que se activa cuando lo lee el navegador de un usuario o una aplicación vulnerable. Dado que los sitios dinámicos dependen de la interacción del usuario, es posible ingresar un script malicioso en la página, ocultándolo entre solicitudes legítimas.
Los puntos de entrada comunes incluyen buscadores, foros, blogs y todo tipo de formularios en línea en general. Una vez iniciado el XSS, el atacante puede cambiar configuraciones de usuarios, secuestrar cuentas, envenenar cookies, exponer conexiones SSL, acceder sitios restringidos y hasta instalar publicidad en el sitio víctima.

Ataques de inyección SQL: inyección SQL es un método de infiltración de código intruso que se sirve de una vulnerabilidad presente en una aplicación en el nivel de validación de entradas para la realización de consultas a una base de datos. El origen de la vulnerabilidad radica en la incorrecta validación de las variables utilizadas en un programa que contiene o genera, código SQL.

Cross Site Request Forgery «CSRF»: este tipo de ataque obliga a un usuario legítimo a ejecutar acciones no deseadas en una aplicación web en la que actualmente está autenticado. Los ataques CSRF se dirigen específicamente a las peticiones de cambio de estado, no el robo de datos, ya que el atacante no tiene manera de ver la respuesta a la solicitud. Con de ayuda de ingeniería social (como el envío de un enlace por correo electrónico), un atacante puede engañar al usuario de una aplicación web para ejecuciones a elección del atacante.

Si la víctima es un usuario normal, un ataque exitoso CSRF puede obligar al usuario a realizar solicitudes fraudulentas como la transferencia de fondos, el cambio de su dirección de correo electrónico, y así sucesivamente. Si la víctima es un administrador, CSRF puede comprometer toda la aplicación web.

Gestión incorrecta de errores: controlar la información que facilitan las páginas de errores es importante, ya que pueden dar información sensible sobre cómo está construida la aplicación web y del software usado para su funcionamiento.

Configuraciones y actualizaciones

Permisos adecuados

Una práctica muy recomendable es dar los permisos apropiados a los archivos y directorios que componen la tienda ya que se encuentra en un directorio con acceso público como es el directorio public_html, raíz o similar.

Los permisos es la manera que tiene un sistema operativo en gestionar qué puede, o no puede, hacer un usuario con los documentos y directorios.

Aplicar de manera correcta los permisos a una tienda virtual es importante ya que una mala gestión de los mismos puede provocar vulnerabilidades. La mayoría de tiendas virtuales están creadas con un CMS por lo que aplicar los permisos adecuados a archivos y directorios es importante para la seguridad de la tienda.

La modificación de permisos dentro del CMS es conveniente que sea realizada por un administrador con experiencia en gestores de contenido, ya que una mala aplicación de permisos puede hacer que el CMS no funcione de manera correcta.

Configuración correcta del CMS

La gran mayoría de tiendas virtuales están creadas utilizando un CMS e-commerce y, como todo software, los CMS pueden tener vulnerabilidades que pueden ser aprovechadas por los cibercriminales. Una gran cantidad de estas vulnerabilidades se deben a malas configuraciones del CMS, pero siguiendo estos pasos se conseguirá un CMS seguro.

Contraseña de la base de datos: los CMS requieren para su fun- cionamiento una base de datos en donde se almacenan los artícu- los, categorías, usuarios y contraseñas, etc. Para acceder a la base de datos es necesario identificarse con un usuario y contraseña. Es de gran importancia que la contraseña que da acceso a la base de datos sea robusta. Para conseguir una contraseña robusta hay que cumplir estas condiciones:

• longitud igual o superior a ocho caracteres;
• incluir, al menos, tres de estos cuatro grupos de caracteres: ma- yúsculas, minúsculas, números y símbolo especiales (¡, $, %, &, ?, #);
• debe de ser diferente y no contener el nombre de usuario
• no debe de estar basada en diccionario.

Prefijo de las tablas de la base de datos: es de dominio público y ampliamente conocidos los nombres por defecto que cada CMS aplica a cada tabla por lo que es especialmente importante añadir un prefijo a cada tabla. Es recomendable que el prefijo tenga una longitud de cinco caracteres alfanuméricos como mínimo. La gran mayoría de CMS generan prefijos en las tablas de forma automática pero es recomendable cambiar este prefijo por defecto por uno nuevo con las características anteriores.

Actualización del CMS: la mayoría de las tiendas están creadas con gestores de contenido orientados a la venta online. Casi todas las vulnerabilidades descubiertas de los CMS se solucionan realizando una actualización del software, es por ello que mantener el CMS ac- tualizado es fundamental para evitar posibles fallos de seguridad.

En los CMS es muy común usar complementos o plugin que dotarán a la tienda de nuevas funcionalidades. Es importante utilizar plugin con una gran cantidad de usuarios ya que así se garantiza una continuidad de desarrollo y mantenimiento. También como en el caso de los CMS es importante mantener actualizados los plugin ya que si están desactualizados estos pueden contener vulnerabilidades que comprometan la tienda.

Usuario y contraseña de la zona de administración (back-end): es recomendable que el nombre de usuario no haga ninguna refe- rencia al nombre de la tienda o que tenga alguna relación con la pa- labra administrador. En el caso de la contraseña es importante que sea robusta, siguiendo los consejos dados en el apartado anterior «Contraseña de la base de datos».

Borrado del directorio de instalación: los CMS cuentan con una serie de archivos cuya única finalidad es la de la instalación de la aplicación. Una práctica recomendable es borrar el directorio y to- dos los archivos de instalación del CMS ya que han terminado su función y puede ser una vulnerabilidad que no se eliminen del di- rectorio donde está la tienda virtual. Cabe destacar que algunos CMS no dejan terminar la instalación si el directorio donde se en- cuentran todos los archivos de instalación no es borrado.

Selección de hosting

Cuando la elección tomada para alojar la tienda virtual es contratar un servicio de hosting externo es necesario seguir una serie de pasos para contratar la mejor opción. Antes de contratar el servicio de almacena- miento en una de las muchas empresas especializadas en estos servi- cios que hay en el mercado es necesario informarse sobre los puntos descritos a continuación para así hacer la mejor elección:

Reputación del proveedor: este es un aspecto clave, preferible- mente hay que elegir una empresa con bastante experiencia en este tipo de servicios.

Tipo de alojamiento (arquitectura del servicio): la mayoría de proveedores de alojamiento web ofrecen dos tipos de alojamiento, basados en Windows o en Linux. La mayoría de tiendas online actualmente se encuentran desarrolladas con gestores de contenido orientados a la venta online (CMS e-commerce). La gran mayoría de gestores de contenido por razones de compatibilidad se comportan mejor en servidores basados en Linux aunque también es factible que se aloje en un servidor basado en Windows.

Soporte: es necesario saber qué política tiene el proveedor de alojamiento en cuanto a posibles fallos o problemas como puede ser que el servidor deje de funcionar.

Elementos técnicos: los proveedores de alojamiento suelen tener una serie de herramientas que ayudan a la gestión de la tienda. Es- tas herramientas que los proveedores ponen a disposición de los clientes realizan diferentes tareas como es el acceso a la base de datos de la tienda, comúnmente con phpMyAdmin. Herramientas que realicen copias de seguridad también son de gran utilidad o que permitan subir archivos al servidor de manera segura.

Políticas de seguridad: conocer qué políticas aplica ante fallos de seguridad en el servidor o la política de copias de seguridad. Estos aspectos son importante conocerlos ya que así se podrán tomar las medidas necesarias para mitigarlos. Si no lo deja claro en las condiciones es recomendable informarse.

Política de uso y condiciones del servicio: hay que poner especial atención en este punto y detenerse sobre cuáles son las condiciones de contratación y otros aspectos a tener en cuenta como la situación del centro de procesamiento de datos o CPD y las leyes que se aplican en el país donde está alojado, entre otros.

Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.

A continuación se describirán las principales ciberamenazas que utilizan los delincuentes, diferenciando si el vector de ataque son las personas o el sistema.

3.1 Ataques dirigidos contra las personas

Este tipo de ciberamenazas buscan engañar a las personas y que los ciberdelincuentes obtengan cualquier clase de beneficio, principalmente información confidencial. Las principales amenazas a las que los empleados de la empresa están expuestos son las siguientes:

3.1.1 Ingeniería social

La ingeniería social consiste en persuadir y engañar a una persona para influenciarla en sus acciones. Con la evolución de la tecnología y de las medidas técnicas de seguridad ha quedado patente que el eslabón más débil dentro de la cadena de seguridad es la persona que tiene acceso de una u otra forma a la información. La seguridad de la información no se garantiza únicamente con la instalación de antivirus, el uso de contraseñas robustas o el cifrado de la información confidencial, por poner algunas medidas.
En el siguiente ejemplo, la ingeniería social en combinación con otras técnicas juega un papel importante alegando a la curiosidad de las personas y la falta de precaución:

Una consecuencia que puede tener la técnica anterior en una empresa de comercio electrónico es que el ciberdelincuente acceda a información confidencial de la propia organización y de sus clientes. También puede obtener las credenciales de acceso al gestor de contenidos o CMS. Además, esta llave USB podría contener otros tipos de malware que podrían realizar cualquier otra acción maliciosa como cifrar todo el contenido del ordenador y los demás dispositivos conectados a la red o dar el control remoto de la máquina al ciberdelincuente. 
Este tipo de técnicas pueden ser realmente efectivas y peligrosas para una empresa. La información que manejan suele ser un bien muy preciado y si esta información cae en manos de los cibercriminales puede suponer graves perjuicios.
La ingeniería social es uno de los vectores de ataque más peligrosos y que más se está utilizando para acceder a las redes de las organizaciones, haciendo uso de los empleados de las propias organizaciones para vulnerar sus medidas de defensa.

3.1.1 Envío urgente

Otra técnica usada por los ciberdelincuentes, muy particularmente en las tiendas virtuales para obtener de manera fraudulenta un artículo, es la denominada «Envío urgente». En este tipo de fraude el cliente tiene mucha prisa por conseguir un artículo ya que es para un cumpleaños o cualquier otra fiesta y que pagará el artículo mediante transferencia bancaria. El responsable de la tienda recibe un comprobante escaneado de la transferencia bancaria que está falsificado. El comerciante al haber recibido el comprobante bancario por correo electrónico envía el artículo
lo antes posible sin antes ponerse en contacto con la entidad bancaria para comprobar que se ha ingresado el dinero.

3.1.2 Spear phishing

El spear phishing consiste en realizar ataques dirigidos, que se centra en una persona, grupo u organización en concreto. Generalmente el ataque se realiza por medio de correos electrónicos utilizando datos personales y conocidos de la víctima. Esto permite personalizar el mensaje y hacer que la víctima se sienta más confiada. Para realizar este tipo de ataque el ciberdelincuente se basa en información obtenida en redes sociales, blogs personales, y cualquier información personal que esté publicada en Internet.
El siguiente ejemplo muestra a un ciberdelincuente utilizando esta técnica:

El ciberdelincuente busca infectar a una víctima determinada. Esta víctima es el responsable de una tienda de comercio electrónico y se conecta al área de administración del gestor de contenidos desde su puesto de trabajo. El objetivo de los ciberdelincuentes es obtener las claves de acceso al área de administración de la tienda virtual. Para conseguir su objetivo el ciberdelincuente ha recabado información personal de la víctima por medio de las redes sociales. Después de cierta indagación descubrió que la víctima y su familia eran unos apasionados del esquí, además descubrió que su hijo pertenece a una escuela de esquí.

Una vez que la víctima descargue el documento PDF adjunto y lo ejecute -lo intente abrir es el modo más habitual, aunque realmente ejecuta instrucciones introducidas en él-, instala en su equipo un malware con el que el ciberdelincuente podrá ver las credenciales de acceso al gestor de contenido y desde allí modificar la tienda virtual para así afectar de manera negativa a su imagen corporativa.

3.1.3 Otros tipos de ciberamenazas

Además de las ciberamenazas anteriormente descritas existen otras que también centran su atención en el personal de la tienda:
Fraude amigo: en este caso el proceso de compra es legítimo, el pago, la entrega, etc. Sin embargo, una vez realizadas todas las actividades, el cliente declara la compra como fraudulenta en su banco, y el vendedor recibe una petición de devolución, no pudiendo recuperar la mercancía, se haga efectiva o no.
La triangulación: este método consiste en que el cliente realiza una compra en un comercio virtual fraudulento sin saberlo. El comercio fraudulento realiza el pedido a una tienda legítima pero paga por medio de una tarjeta robada, una vez el estafador ha recibido el producto le enviará el artículo al cliente legítimo. De esta manera el cliente y comerciante ven la transacción como legítima.

El propietario de la tienda debe establecer unos requisitos de seguridad, para que sus clientes tengan una experiencia digital segura. Es necesario tener claros los pasos a seguir para dotar a una tienda virtual de un nivel de ciberseguridad aceptable, tanto para el propietario como para el cliente.
El comercio electrónico está expuesto a múltiples amenazas, que llegan a través de internet mediante distintas técnicas.

La importancia de la Cibersegueridad en el comercio electrónico

La evolución de la tecnología y en particular la irrupción de Internet ha provocado un gran cambio de paradigma en la sociedad. La información se procesa, almacena y transmite sin restricciones de distancia, tiempo, ni volumen.
Este nuevo entorno tiene una gran trascendencia tanto para las empresas, como para los ciudadanos. Los mercados se han transformado en globales y digitales en poco tiempo.
La globalización, el aumento de capacidad y velocidad de las transacciones y la movilidad, provocados por la rápida evolución de la tecnología, han dejado obsoleta la forma de entender los negocios.
Las antiguas reglas, las leyes y las normas se quedan escasas y es necesario reformularlas.
En este entorno, la seguridad cobra un sentido especial. Todas las propiedades del mercado digital (velocidad, capacidad, movilidad,) son aprovechadas y explotadas por aquellos que pretenden obtener beneficio de manera fraudulenta, los denominados cibercriminales o Ciberdelincuentes.
En un contexto globalizado, la ciberseguridad es un elemento clave para el desarrollo económico.
La protección frente a las amenazas (introducción de código dañino en sistemas, ataques a páginas web para robar información, cometer fraude electrónico y robo de identidad on-line,…) y el fomento de la seguridad constituyen factores esenciales para el desarrollo de la economía de Internet.
El gran pilar del desarrollo de la economía digital se apoya en el comercio electrónico, también conocido como e-commerce. El comercio electrónico ha aumentado considerablemente en los últimos años y se espera que siga creciendo en los próximos. Por tanto, las empresas deben de adaptarse y evolucionar hacía este mercado digital, teniendo como uno de sus principios rectores la ciberseguridad.
Para comprender mejor las formas de ataque usadas por los ciberdelincuentes es necesario conocer cuáles son sus motivaciones.

1. Los ciberdelincuentes tienen como principal objetivo el beneficio económico. Para ello utilizan diferentes vectores de ataque como veremos en el siguiente apartado. Para conseguir su objetivo pueden robar distinta información confidencial como es la cartera de clientes de una organización o información bancaria como el número de tarjeta, entre otros. Una vez que los ciberdelincuentes obtienen la información que quieren, pueden Utilizarla para otros ataques o venderla en el mercado negro.
2. Dañar la imagen corporativa: para ello, pueden utilizar técnicas como la modificación de la página web de la organización cam¬biándola por otra degradante para la imagen de la empresa o una imagen reivindicativa. Este tipo de ataques contra la imagen cor¬porativa causan además del daño económico por pérdida de con¬fianza de los clientes, el deterioro de su imagen de marca.
3. Aprovechar los recursos tecnológicos de la empresa para ata¬car a terceros: se utilizan los recursos tecnológicos de la empresa para poder obtener beneficio económico de un tercero. Si nuestra web no es segura pueden utilizarla para distribuir malware, alojar un phishing, infectar nuestro servidor web para utilizar su capaci¬dad de red entre otros tipos de acciones maliciosas.