Home Seguridad ¿Qué tan seguros son los entornos de comercio electrónico?

¿Qué tan seguros son los entornos de comercio electrónico?

por Rocio Diaz

Pese a lo común que se ha vuelto comprar a través de Internet, revisar nuestros estados de cuenta por esa vía e incluso completar transacciones -muchas veces desde el móvil-, el entorno de comercio electrónico sigue siendo un lugar especialmente vulnerable desde el punto de vista de seguridad.

Historias de engaños online abundan, y si bien suelen involucrar sitios de dudosa reputación, hay que tomar en cuenta que las consecuencias muchas veces van más allá de simple dinero perdido porque, en ocasiones, se ve involucrada directamente la identidad de la víctima.

Parte del problema en este entorno es que los ciberdelincuentes parecen evolucionar a la par de los sistemas de seguridad electrónica, aprovechando vulnerabilidades de formas cada vez más ingeniosas. La consecuencia, por supuesto, es que las empresas del ramo se ven obligadas a invertir cada vez más en seguridad, llegando a superar a sus contrapartes físicas.

El panorama

Jesús Cortina, gerente general de GM Security Technologies, señala cuatro elementos que deben tomarse en cuenta a la hora de evaluar a seguridad en transacciones de negocios en línea: el software cliente, los protocolos de transferencia de datos, el servidor web y el sistema operativo. Una simple falla en cualquiera de estos elementos  compromete directamente la seguridad de las transacciones, poniendo en juego la confianza de los consumidores y comerciantes por igual.

Jesús Cortina, gerente general GM Security Technologies

Jesús Cortina, gerente general GM Security Technologies

Es indispensable que las empresas de comercio electrónico desarrollen sistemas neurales independientes a todos los que brindan las firmas de seguridad y los bancos. Para ello es preciso estudiar el comportamiento o patrón de compra de cada usuario e identificar los diferentes perfiles de compradores que impliquen cierto nivel de “sospecha” para así tomar decisiones proactivas.

Entendiendo las amenazas

Se entiende por amenaza a la acción del entorno de redes – pudiendo involucrar persona, hardware, evento o idea – que, dada una oportunidad, puede propiciar una violación en la seguridad, desde la confidencialidad, integridad, disponibilidad o uso legítimo de la data. A su vez, estas pueden ser clasificadas como internas y externas, dependiendo del entorno en donde se produzcan.

Asimismo, hay una clasificación por categorías, que van desde el vandalismo, sabotaje, robo y fraude en internet hasta la violación a la seguridad y privacidad de datos, culminando en negación de servicio.

El modelo de seguridad en el comercio electrónico se puede dividir en cuatro componentes principales que hay que proteger: el software del cliente; el transporte de los datos; el software del servidor web; y el sistema operativo del servidor. Es imprescindible hacer un esfuerzo para que la seguridad de estos componentes sea consistente ya que, si uno de ellos presenta una debilidad obvia, sería blanco de la mayoría de los ataques, y debido a su debilidad muchos de esos ataques serían exitosos.

Un paso para garantizar seguridad

Para hacer frente a estas situaciones fue creado en 2004 el estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS, un conjunto de normas de seguridad desarrollado por una alianza entre varios de los principales emisores de las tarjetas de crédito del mundo – como son Visa, Mastercard, American Express, Discover y JCB-, diseñado para proteger lo que se conoce como el Cardholder Data Environment (CDE).

Cumplimiento con PCI es un requisito para todos los comerciantes que aceptan tarjetas, y es importante que tanto usuarios como propietarios de sitios web, verifiquen si la información expuesta está segura.