¿Puede el Black Friday ser tu mayor riesgo?

15 julio 2016

4 min read

Las brechas de seguridad online aumentan en importancia y en cantidad de año en año, y el comercio electrónico es una de las actividades más atractivas para los ciberatacantes. El primer objetivo de un ciberdelincuente será la captación de datos privados, y el segundo, la captación de datos de pago con los que realizar fraudes y estafas.

¿Puede el Black Friday ser tu mayor riesgo? (Desktop)

Podemos pensar que la responsabilidad del cuidado de los datos personales y de pago depende exclusivamente del usuario, pero no es así, puesto que las tiendas online solicitan muchos datos personales que almacenan en sus bases de datos, y muchas veces sin la protección adecuada.

Sí es cierto que la mayoría de los comercios electrónicos no capturan ni guardan datos de pago del usuario, pero sin embargo siguen siendo responsables de la seguridad de las comunicaciones entre los usuarios y la tienda online. Aquí podríamos abrir un debate sobre quién es el responsable de asegurarse que la comunicación entre el dispositivo del usuario y la tienda online se hace de manera segura: ¿el propio usuario o la tienda online? Si lo miramos desde la perspectiva del cliente, probablemente nos decantemos por asignar la mayor parte de la responsabilidad a la tienda, al menos en lo que se refiere a un mínimo de medidas de seguridad que no son costosas y que además de seguridad aportan confianza al usuario.

Porque el problema de la seguridad en el comercio electrónico, además de ser un riesgo en sí mismo, supone un riesgo añadido de daños en la reputación de la tienda, y ese daño es casi peor que el daño que puede infringir un delincuente que roba datos personales. Por un lado, el daño económico para la tienda online puede llegar en forma de sanciones por parte de la Agencia Española de Protección de Datos y, por otro, por la pérdida de reputación y confianza del usuario que valore negativamente una tienda y recomiende no comprar en ella, justo lo contrario de lo que todos esperamos que haga un cliente.

Estos riesgos son más acusados durante fechas especiales, como el ya extendido a nivel global Black Friday, que si bien tiene su origen en EEUU, en la última campaña en España no había comercio, físico y online, que no hiciera ofertas especiales para esa fecha. Y el riesgo es mayor en esos días porque hay un mayor número de compradores que se conectan desde cualquier sitio a internet para realizar sus compras, meditadas o por impulso. Si se vende mucho más gracias a este tipo de campañas de promoción, pero se sufre un ataque y los datos de nuestros clientes se ven comprometidos, podemos perder mucho más de lo que ganamos, no solo desde el punto de vista económico, sino sobre todo reputacional.

El primer punto de vulnerabilidad para el usuario es conectarse a internet a través de una conexión pública abierta y no cifrada. Eso significa que todo lo que haga mientras esté conectado podrá ser espiado por cualquiera que estando conectado quiera hacerlo simplemente usando un sencillo software. ¿Qué puede o debe hacer una tienda online para evitar ese riesgo?

  • Ofrecer la página web de la tienda, o al menos las páginas que implican comunicación de datos personales y de pago, bajo protocolo de seguridad, es decir, con el famoso https en la url o dirección web de la tienda. Todo las comunicaciones que se realicen de forma encriptada bajo este protocolo no podrán ser leídas aunque sean interceptadas por alguien que está escuchando en la red.
  • Asegurarse que utiliza la última versión del software correspondiente de tienda online: los agujeros de seguridad surgen de vez en cuando, es algo natural, sobre todo en aquellas herramientas más populares y gratuitas que se utilizan de forma libre. Es responsabilidad del comercio asegurarse que la versión que utiliza de estas herramientas es segura.
  • Realizar revisiones periódicas de búsqueda y análisis de malware en el sitio web de la tienda: hay elementos de seguridad a nivel del proveedor del servicio de alojamiento web que están fuera del control de la tienda, pero sí que podemos hacer una revisión por si se ha colado malware en nuestra web, y esto se puede hacer de forma gratuita y online.
  • Informar al usuario: este punto no es tanto para reducir el riesgo de un ciberataque sino para reducir el riesgo reputacional en caso de que el usuario sea atacado de alguna manera. La tienda puede informar a los usuarios de las medidas de seguridad que ha tomado la propia tienda para protegerlo y de las medidas de seguridad que puede tomar el usuario para protegerse.

El Instituto Nacional de Ciberseguridad de España (INCIBE), una de las instituciones más prestigiosas del mundo en materia de ciberseguridad, ha elaborado una guía para comercios electrónicos que puede ser de interés a los profesionales del sector. Descarga directa en pdf aquí.

Las grandes empresas y grandes tiendas online tienen resuelto el problema, sin embargo las PYMES del comercio electrónico no necesitan grandes recursos para competir en igualdad de condiciones en este campo. Una tienda online segura genera confianza y aumenta la fidelidad del cliente. Por este motivo la ciberseguridad no es un deber para las empresas ni una distracción de su objetivo de vender, sino una razón para que los clientes que llegan se queden y vuelvan.

Una buena ciberseguridad de definitiva es buena para la cuenta de resultados de la tienda online.

Por Javier Martín Robles, Fundador de Loogic, la comunidad de aprendizaje para emprendedores y startups

Cyber Security eBook