En el año 2020 hubo más de 2.300 millones de ciberataques en Chile, según el centro de inteligencia especializado, Fortinet. Los más preocupantes son los relacionados con Denegación de Servicio Distribuida (DDoS), Ransomware (donde las principales industrias afectadas fueron: Servicios Comerciales y Profesionales, Retail y Servicios financieros) y el secuestro de información y datos, Amenazas Avanzadas Persistentes (APT).
En nuestro país, el 25% de los ciberataques se enfocaron en servicios relacionados con e-commerce, precisamente porque este método de compras por internet utiliza diversas plataformas de pago, con información sensible de los clientes. Esa es la principal razón por la que los cibercriminales están constantemente buscando brechas de acceso para aprovechar la información bancaria de los usuarios con el fin de realizar estafas o robos.
Compras por internet más seguras y más controladas
Entre los principales riesgos, amenazas y debilidades en la seguridad de los sistemas de compras por internet, pueden haber casos muy variados, no obstante, a continuación se repasan las más comunes:
- Falta de actualización del software, es decir, cuando al software base que se usa se le detecta una falla de seguridad. En ese caso el fabricante libera un parche para resolverla, sin embargo, si el parche no se aplica adecuadamente la vulnerabilidad sigue presente.
- Fallas en el diseño o programación del software. Como en cualquier casa, aunque la cerradura y la puerta sean de la mejor calidad, si se dejan las llaves puestas un ladrón podrá entrar igual. Existen buenas prácticas y herramientas que apoyan la detección de vulnerabilidades en el software desde su diseño y estas deben usarse.
- El atacante interno. No se trata solamente de casos en que un colaborador realiza un ataque de manera intencional, sino que también es posible que sin querer lo haga posible. La primera defensa de un sistema es proteger el perímetro. Esto dificulta (ojalá impida siempre) el acceso no autorizado desde el exterior. Pero, ¿qué pasa cuando un usuario realiza un ataque desde dentro? Ahí, la defensa del perímetro pierde sentido. Muchas veces los empleados son engañados, mediante phishing por ejemplo, y llevados a instalar software que abren puertas traseras y permiten a un atacante desde el exterior tomar control de equipos en la red interna y desde allí llevar a cabo un ataque.
En todo caso, los consumidores pueden efectuar sus compras por internet con confianza, porque en la actualidad las plataformas de pago usan sistemas con altos niveles de seguridad para transmitir, procesar y almacenar información. En efecto, la mayoría de las plataformas de pago tienen un Sistema de Gestión de Seguridad de la Información (SGSI), que permite enfrentar el desafío de la seguridad de forma organizada, integral y manteniendo una comunicación clara con todos los involucrados.
Un SGSI consta de una serie de políticas, procedimientos o directrices específicas que tienen como objetivo la protección de los activos de información en una organización. Estos mecanismos permiten mejorar de forma continua la calidad de la seguridad de la información de la entidad, a través de un proceso sistemático, documentado y conocido por todos los integrantes, garantizando protocolos y un hermetismo tanto de seguridad como cifrado que no presenta muchas debilidades.
Carlos Durán, oficial de seguridad de la plataforma de pago FLOW, actualmente presente en Chile y otros países de América Latina, sostiene que “en FLOW se utilizan mecanismos de cifrado robustos y de última generación, tanto para la información sensible en tránsito (redes), en reposo (almacenada) y en uso (memoria). Tenemos los protocolos y algoritmos más utilizados -y considerados más robustos- como TLS 1.3 para transporte, AES 256 para clave simétrica y RSA para clave asimétrica. Todos ellos dan garantías para que el pago de compras a través de plataformas especializadas prácticamente no presente riesgos asociados, al punto que se consideran incluso más seguras que las compras con el formato tradicional”, afirma.
En la industria de los pagos digitales existen estándares, tanto nacionales como internacionales, que se preocupan de mantener la entrega de un servicio confiable y de calidad. Una de ellas es la norma llamada PCI-DSS, la cual fue desarrollada por las marcas de tarjetas de pago (Visa, Mastercard, entre otras). En esta norma se exige la certificación anual de los sistemas e infraestructura, sin embargo, como las amenazas también aumentan, independiente de las certificaciones, el monitoreo activo de vulnerabilidades es una actividad continua.
“Lo cierto es que es recomendable realizar verificaciones automatizadas de vulnerabilidades al menos 2 veces al año y cada vez que se realiza un cambio relevante, afirma Carlos Durán, quien señala que en FLOW realizamos al menos una vez al mes revisiones de todos los sistemas productivos, y tenemos una inversión constante en tecnología que nos permite mantenernos actualizados y acorde a las exigencias de entidades regulatorias”.
Sin duda, todos los aspectos de la ciberseguridad son importantes en las compras por internet y sus principales responsables son los proveedores de servicios, entidades bancarias y financieras. Preocuparse de la seguridad cuando ya han sido atacados es demasiado tarde y la denuncia ante la policía no evitará los problemas que un ciberataque conlleva. Lo más importante es prevenir y contar con mecanismos de ciberdefensa, así como con la asesoría de empresas especializadas.
About The Author
