Principales amenazas de seguridad en línea.

Podemos encontrar una cantidad increíble de formas de ataque cibernético que van desde engaños por correo hasta secuestros de información. Tenemos entonces una clasificación de estos de la siguiente forma:

Código Malicioso

Contiene principalmente a todo programa creado con fines maliciosos como virus, gusanos, "caballos de troya", etc. Además, contemplan a los "Exploits", los "Bots" y el temido "Ransomware"

Programas potencialmente no deseados (PUP)

Son programas que se instalan sin el consentimiento del usuario, pueden realizar acciones de publicidad no deseada, robo de datos y espionaje. Podemos detectar en estos casos "Adware" que abren ventanas flotantes en el navegador mostrando publicidad o parásitos del navegador, que fueron muy célebres en el navegador Internet Explorer.

Phishing

Mecanismos malignos que emplean relaciones sociales, haciéndose pasar por páginas oficiales o incluso personas para engañar a las víctimas. En lugar de emplear aplicaciones o programas maliciosos se emplea técnicas de convencimiento para obtener datos confidenciales o usuarios y claves de acceso de las personas. Las políticas y procedimientos claros y bien ejecutados por parte del personal de una empresa pueden mitigar mucho este mal.

Hacking

Debemos identificar que para que se de el "hacking" debe existir un actor que en este caso es el hacker que se puede clasificar en tres tipos:

• Hacker de sombrero blanco: contratado por una empresa para detectar falencias en los sistemas de seguridad.
• Hacker de sombrero gris: tercera persona que identifica problemas de seguridad en las empresas y les da aviso a fin de que realicen las correcciones necesarias.
• Hacker de sombrero negro: tercera persona que utiliza sus conocimientos de forma maliciosa recopilando datos o accesos a sistemas que no debería sin avisar de su actuar. (Esto es ilegal en la mayoría de países del mundo)

El "hacking" es el proceso de encontrar y explotar una vulnerabilidad de un sistema en términos de seguridad.

Violación de datos

Son las acciones que vulneran la privacidad de las personas en el espacio virtual. En el caso de empresas o instituciones estas violaciones ocurren cuando se pierde el control sobre los datos de los clientes o personas y terceros pueden acceder a estos datos.

Robos o fraudes de tarjetas

Es la más común de las formas de estafas o robos informáticos, provocando grandes perdidas a instituciones financieras que deben asumir estas deudas cuando se comprueba el robo, para ello han empleado seguros sobre las cuentas, de forma que buscan mitigar sus pérdidas.

Suplantación de identidad

En el medio digital realizar suplantaciones de identidad mediante perfiles falsos, correos y demás no es tan complicado, nuestras fotos y datos son muchas veces públicos en nuestros perfiles de redes sociales y esto puede generar un grave dolor de cabeza a futuro, como cuando piden prestamos o créditos utilizando nuestros datos, por ello es importante revisar que no toda nuestra información es pública en las redes sociales.

Spoofing, Pharming y Spam

El spoofing involucra el uso de tecnologías o medios digitales que esconden la verdadera identidad de quien envía correos electrónicos, de forma que las víctimas creen que vienen de un canal seguro y pueden ser estafadas o sufrir robo de datos.

El pharming es un método que emplean personas maliciosas para redirigir a sitios web diferentes de los que un usuario desea. Por ejemplo, queremos entrar a la web de un banco como www.bancogati.com, pero mediante esta técnico llegamos a ww2.bancogati.com y dentro de esa podemos ser víctimas de estafa o robo.

El spam (no confundir con la bandeja de Spam) hace referencia a todos los enlaces que nos llevarán a sitios falsos, es decir aplican pharming, y/o ocultan su verdadera identidad, es decir aplican spoofing.

Sniffing

Es un método por el cual se rastrea y visualiza el contenido que pasa por una red, eficiente en algunos casos, pues no se requiere hackear un dispositivo, sino la red por donde envía datos.

Ataques DOS y DDOS

Los ataques DOS y DDOS son empleados en actividades como el Hacktivismo y el Cibervandalismo, unos con motivos politicos, religiosos o éticos y el otro con el afán de causar daños a una organización. Estos ataques lo que hacen es saturar los sitios web a tal punto que nadie puede acceder y bloquean de esa forma su acceso. El ataque DOS es cuando una persona realizar el ataque, el DDOS es cuando se ha conseguido infectar a varios ordenadores que hacen de "zombies" y atacan en grupo sin saberlo a un sitio web.

Fuente:

Laudon, K. C. y Traver, C. G. (2017) E-commerce 2017: business, technology, society. (17a ed.). Boston: Pearson Education.

Seguridad en el E-commerce

La seguridad en las transacciones comerciales es siempre un tema de interés para clientes y vendedores, en toda ocasión en la que realizamos una compra o una venta tomamos riesgos que pueden ir desde filtraciones de privacidad hasta estafas millonarias o robos.

Veamos la siguiente comparación:

• Como comprador: tenemos como riesgo que no obtenemos aquello por lo que hemos pagado.
• Como vendedor: tenemos el riesgo de que no recibimos el pago por lo vendido.

Podemos encontrar diversos actores y escenarios en este aspecto como: ladrones que se llevan mercadería sin pagarla, estafadores que realizan pagos con dinero falsificado o mediante tarjetas robadas. Debemos entender que el e-commerce tiene casi los mismos riesgos que el comercio tradicional y al igual que en los negocios físicos debemos implementar diversas medidas para reducir estos riesgos.

Según Laudon y Traver (2017) tenemos 3 capas que permiten o proveen protección al e-commerce:

• Soluciones tecnológicas: como utilizar certificados de seguridad en páginas web.
• Procedimientos y políticas de la organización: la forma como proceder ante una incidencia.
• Leyes y estándares de la industria

Tenemos que ser conscientes que ningún sistema de seguridad es infalible y puede ser vulnerado en cualquier momento, no debemos exceder nuestros gastos en seguridad si lo que queremos proteger no es medular o no necesita ser protegido todo el tiempo. Existe información que es de suma importancia durante un limitado periodo de tiempo, luego ya no.

Asimismo, las herramientas tecnológicas tienen un límite que debe ser complementado con buenas prácticas. Por ejemplo, supongamos que conseguimos un sistema de seguridad millonario que no puede ser vulnerado por ataques de fuerza bruta, pero nuestros empleados usan contraseñas como "123456", su nombre o anotan su clave en algún lugar poco protegido. Estas acciones ponen en riesgo al sistema y este no puede hacer nada para mitigarlo. Actualmente no se suele atacar directamente a los sistemas de información, sino a los usuarios con acceso a estos mediante correos fraudulentos por ejemplo.

Dimensiones de seguridad en el E-commerce

Podemos identificar principalmente seis dimensiones en la seguridad que son: integridad, el estado de "no repudio", autenticidad, confidencialidad, privacidad y disponibilidad (Laudon y Traver, 2017).

Integridad

Engloba la capacidad de asegurar que toda información que se despliega y recibe en nuestro sitio web, o es enviado o recibido a través de uno de nuestros canales digitales no ha sufrido alteraciones por parte de alguien no autorizado de ninguna forma. Por ejemplo, al enviar una factura, esta llega tal cual se envió al cliente sin ser alterada por algún inescrupuloso, en ese momento podemos afirmar que el envío de datos es íntegro.

No repudio

Es la capacidad de asegurar que los participantes de una transacción electrónica (puede ser desde el proceso de contacto hasta posterior a la venta o al no realizar la venta) no nieguen sus acciones en línea. Por ejemplo, que un cliente asegure que no recibió información cuando hay pruebas que sí lo hizo, esas pruebas serían las que nos garantizan un estado de "no repudio".

Autenticidad

Es la habilidad de identificar a las personas o entidades que son parte del proceso de e-commerce. Por ejemplo, identificarse plenamente ante los clientes e identificar a un comprador cuando se realiza una venta, es importante resaltar esto en las políticas de venta para evitar estafas por suplantación.

Confidencialidad

Es la habilidad de asegurar que toda información es solamente visible para quienes tienen acceso autorizado. Por ejemplo, los mensajes enviados entre vendedores y clientes, un tercero que no participa del proceso de compra-venta no debe tener acceso a dichos mensajes.

Privacidad

Es la capacidad de tener control sobre los datos propios de una persona o empresa enviados al vendedor online. Para ello, se deben implementar políticas de privacidad de datos a los que los clientes deben tener acceso para evitar cualquier violación a la privacidad del cliente. Además, asegurar la información de nuestros cliente, ya que si atacantes informáticos entran a nuestra plataforma en línea se ven comprometidos no solamente nuestros datos, sino también los datos recolectados de los clientes.

Disponibilidad

La capacidad de que un sitio web o los canales digitales de contacto siguen funcionando todo el tiempo, en el caso de canales de contacto o mensajería como redes sociales es sumamente importante dar a conocer los horarios de atención para evitar disgustar a los clientes.

Fuente:

Laudon, K. C. y Traver, C. G. (2017) E-commerce 2017: business, technology, society. (17a ed.). Boston: Pearson Education.