Tu sitio de e-commerce NO está debidamente protegido

¿Tu empresa es una e-commerce? ¿Te has parado a pensar en la importancia que tiene la seguridad? Si no lo has hecho aún, es el momento; tu sitio de e-commerce NO está debidamente protegido.

Pero no sólo eso, sino que pocas empresas que hacen e-commerce son conscientes de los riesgos de seguridad existentes y del impacto que un fallo de seguridad puede tener sobre su negocio.

Para mí hay un primer síntoma de que algo va mal cuando navego por un sitio y veo que la tienda online no utiliza SSL. Me pongo alerta y me acuerdo de los estudiantes de una universidad de Madrid que iban al cine por 10 céntimos modificando el precio de la entrada en la página de una cadena de cines. Una vez modificado el precio, se procedía a la compra. A la pasarela de pagos (ya propiamente securizada) le llegaba el precio modificado y finalizaba la transacción. Unas pocas entradas no tenían impacto sobre el negocio de los cines, pero nos da una idea del impacto que podría tener en un pequeño comercio que venda artículos a cierto nivel de precios.

E incluso tendría más impacto la pérdida de datos de clientes. En primer lugar, por las multas del regulador. En segundo, por el daño en la imagen de nuestra marca y la pérdida de confianza de nuestros clientes. Y en tercer lugar, por las posibles acciones legales de nuestros clientes, como en el caso de JP Morgan. Según Trustwave, en su informe global sobre seguridad de 2014 los sitios de ecommerce aparecen como los más afectados por pérdidas de datos, sufriendo un 35% de este tipo de incidentes, muy por delante de banca, 9%, o tecnología, 6%, que por otra parte son sectores mucho más conscientes del problema de la seguridad. Y lo que es más alarmante, en el caso de ecommerce, sólo un 29% de esas pérdidas de datos, fueron detectadas por las propias compañías.

Algunos de los errores más frecuentes tienen que ver con:

Por otro lado, un sitio de e-commerce debe cumplir con normativas como la PCI DSS.

Es evidente que mantener un site perfectamente parcheado, actualizado desde el punto de vista de la seguridad, independientemente de las modificaciones que apliquemos al mismo, es una tarea titánica incluso para grandes organizaciones con equipos de seguridad dedicados. Por eso conviene apoyarse en soluciones como los firewalls de aplicaciones web (WAF) que protejan frente a los principales fallos de seguridad de las aplicaciones web. Un WAF, ya sea un appliance, o un servicio como Transparent SecureLayer de Transparent CDN que además de firmas personalizadas utiliza por defecto las del Top 10 de OWASP,y nos ayuda a verificar que cumplimos con normativas como la PCI DSS.

Tal vez mis conocidos hicieron que los cines se diesen cuenta de que tenían un agujero de seguridad. Y de que con precios más ajustados en las entradas se llenaban las salas 🙂