PDF de programación - Ciberseguridad en comercio electrónico

ÍNDICE

1

2

3

SOBRE LA GUÍA ......................................................................... 5

INTRODUCCIÓN SOBRE EL COMERCIO ELECTRÓNICO ................ 7

CIBERAMENAZAS ...................................................................... 9

3.1 Ataques dirigidos contra las personas ..................................................... 10

3.1.1

Ingeniería social ............................................................................... 10

3.1.2

Envío urgente ................................................................................... 11

3.1.3

Spear phishing .................................................................................. 12

3.1.4 Otros tipos de ciberamenazas ......................................................... 13

3.2 Ataques dirigidos contra el sistema ......................................................... 13

3.3 Ataques contra el sistema o las personas ................................................ 15

3.3.1

Phishing ............................................................................................ 15

3.3.2 Defacement ...................................................................................... 17

4

MEDIDAS DE PROTECCIÓN ...................................................... 18

4.1 Concienciación y formación ..................................................................... 18

4.2 Configuraciones y actualizaciones ........................................................... 20

4.2.1

Certificado SSL .................................................................................. 20

4.2.2

Copias de seguridad ......................................................................... 21

4.2.3

Pasarela de pago segura .................................................................. 23

4.2.4

Permisos adecuados ........................................................................ 24

4.2.5

Configuración correcta del CMS ...................................................... 25

4.2.6

Selección de hosting ........................................................................ 26

4.2.7

Bastionado del servidor ................................................................... 27

Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario



Página 2 de 39



4.2.8

Bastionado de Apache ..................................................................... 28

4.2.9 Otras medidas de protección ........................................................... 28

4.3 Buenas prácticas ..................................................................................... 29

4.3.1

Sistema de respaldo ......................................................................... 29

4.3.2

Entornos de PRE y PRO producción ................................................. 30

4.3.3

Auditorias ......................................................................................... 30

4.3.4

Planes de contingencia y continuidad ............................................. 30

4.4 Políticas de seguridad ............................................................................. 30

4.5 Implantación de medidas de carácter legal ............................................. 32

SEGURIDAD DE LAS OPERACIONES EN EL COMERCIO

5
ELECTRÓNICO ..................................................................................... 33

5.1 Detección de compras fraudulentas ........................................................ 33

5.2 Actuación ante compras fraudulentas ..................................................... 34

5.3 Mejorar la confianza de los clientes ........................................................ 35

6

7



GLOSARIO............................................................................... 36

REFERENCIAS .......................................................................... 37



Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario



Página 3 de 39





Autor: Darío Beneitez Juan

Esta guía ha sido elaborada con la colaboración de Jorge Chinea López, Miguel
Herrero Collantes y Juan Delfín Peláez Álvarez.



Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario



Página 4 de 39





1 SOBRE LA GUÍA

El objetivo de
la «guía de ciberseguridad para comercio electrónico, una
aproximación para el empresario», es describir los pasos a seguir para dotar a una
tienda virtual de un nivel de ciberseguridad aceptable, tanto para el propietario
como para el cliente. El propietario de la tienda debe establecer unos requisitos de
seguridad, para que sus clientes tengan una experiencia digital segura.

El comercio electrónico está expuesto a múltiples amenazas, que llegan a través de
internet mediante distintas técnicas. En esta guía se describen las principales
ciberamenazas y recomendaciones que hay que aplicar para reducir el riesgo de que
se produzcan. Además, se describen una serie de puntos con los que se puede
identificar una transacción como fraudulenta, así como la manera de actuar cuando
se ha producido un fraude en la tienda virtual. Por último, se describe como se
puede aumentar la confianza de los clientes en la tienda virtual.

Esta guía se dirige al empresario para que,
los
conocimientos técnicos y de quien gestione la tienda virtual, conozca las pautas
básicas a considerar en materia de ciberseguridad en su portal.

independientemente de

Para una mejor compresión de esta guía, se recomienda tener al menos
conocimientos básicos en materia de ciberseguridad.

A continuación se muestra un diagrama para identificar y visualizar los apartados
dentro de la guía y situarlos en el contexto al que hacen referencia. El diagrama se
encuentra dividido en cuatro zonas:

 En la zona izquierda se hace una pequeña descripción de que es el comercio
los

las principales motivaciones de

electrónico y de cuáles son
ciberdelincuentes.

 En la zona superior se describe las principales formas de ataque contra una

empresa de comercio electrónico.

 En la zona inferior se indican las principales medidas de protección contra las

diferentes formas de ataque que tienen los ciberdelincuentes.

 En la zona derecha se hace referencia a la manera de actuar cuando las
medidas de protección han fallado y como aumentar la confianza de los
clientes en la tienda virtual.

Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario



Página 5 de 39



Ilustración 1 Diagrama completo

Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario



Página 6 de 39



2

INTRODUCCIÓN SOBRE EL COMERCIO ELECTRÓNICO

la

la

irrupción de

La evolución de
tecnología y en
particular
Internet, ha
provocado un gran cambio de paradigma
en la sociedad. La información se procesa,
almacena y transmite sin restricciones de
distancia, tiempo, ni volumen.

Este nuevo entorno

tiene una gran

trascendencia tanto para
las empresas,
como para los ciudadanos. Los mercados se
han transformado en globales y digitales en poco tiempo.

Ilustración 2 Introducción

La globalización, el aumento de capacidad y velocidad de las transacciones y la
movilidad, provocados por la rápida evolución de la tecnología han dejado obsoleta
la forma de entender los negocios. Las antiguas reglas, las leyes y las normas se
quedan escasas y es necesario reformularlas.

En este entorno, la seguridad cobra un sentido especial. Todas las propiedades del
mercado digital (velocidad, capacidad, movilidad,...) son aprovechadas y explotadas
por aquellos que pretenden obtener beneficio de manera fraudulenta,
los
denominados cibercriminales o ciberdelincuentes.

En un contexto globalizado, la ciberseguridad es un elemento clave para el desarrollo
económico. La protección frente a las amenazas (introducción de código dañino en
sistemas, ataques a páginas web para robar información, cometer fraude electrónico
y robo de identidad on-line,...) y el fomento de la seguridad constituyen factores
esenciales para el desarrollo de la economía de Internet.

El gran pilar del desarrollo de la economía digital se apoya en el comercio electrónico
también conocido como e-commerce. La compra-venta de productos utilizando
medios telemáticos permite llegar a un número mayor de posibles clientes 24 horas
al día, 365 días al año. El comercio electrónico ha aumentado considerablemente en
los últimos años y se espera que siga creciendo en los próximos. Por tanto, las
empresas deben de adaptarse y evolucionar hacía este mercado digital, teniendo
como uno de sus principios rectores la ciberseguridad.

Para comprender mejor las formas de ataque usadas por los ciberdelincuentes es
necesario conocer cuáles son sus motivaciones.

Los ciberdelincuentes tienen como principal objetivo el beneficio económico. Para
ello utilizan diferentes vectores de ataque como veremos en el siguiente apartado.
Para conseguir su objetivo pueden robar distinta información confidencial como es la

Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario



Página 7 de 39



cartera de clientes de una organización o información bancaria como el número de
tarjeta, entre otros. Una vez que los ciberdelincuentes obtienen la información que
quieren, pueden utilizarla para otros ataques o venderla en el mercado negro.

Pero también pueden existir otros dos objetivos:

 Dañar la imagen corporativa: para ello, pueden utilizar técnicas como la
modif