EscucharTodas las empresas y las personas deben aplicar la máxima de cero confianza en sus transacciones en Internet utilizando herramientas, hábitos y prácticas que protejan datos, cuentas y sistemas.
Los ciberdelincuentes pueden aprovechar cualquier abertura que encuentren, incluyendo un error de un usuario o un proceso mal configurado en los sistemas, para obtener datos como número de tarjetas de crédito o ingresar a las plataformas de una empresa para cualquier tipo de propósito.
Alguien podría ingresar y deshabilitar su sitio web o cambiar los detalles de los productos o borrarla de un plumazo. Las posibilidades son múltiples. O robar los datos de los clientes, que por ley son responsabilidad de la empresa.
Los incidentes de hackeo de entidades públicas, incluyendo el Ministerio de Hacienda que detuvo los servicios en línea de tributación y aduanas, y de empresas demuestran que —pese a su tamaño— Costa Rica no está fuera del radar de los ciberdelincuentes como muchas personas creían. Tampoco las pequeñas empresas.
“No estamos aislados”, insistió Juan Carlos Castro, director de proyectos de tecnología de la firma Olé, que se especializa en implementación de soluciones digitales. “No estamos en una comarca alejada”.
Castro insistió que la seguridad de los sistemas, incluyendo las tiendas en línea y de las aplicaciones móviles, empieza desde que se inicia su programación. No es solo contar con herramientas de ciberseguridad.
Si bien los grupos de ciberdelincuentes como Conti pueden enfocarse en instituciones gubernamentales como en Irlanda, Costa Rica y ahora también Perú, existen otros hackers que realizan ataques, como en el caso de la cuenta de Twitter de la Caja Costarricense de Seguro Social o de los proveedores de los sistemas de los servicios de Box Correos en 2020 y recientemente de Aeropost.
Los ciberdelincuentes también utilizan información de usuarios para realizar fraudes a nivel individual. Según las autoridades judiciales, en Costa Rica se cuadruplicaron las denuncias desde 2018 por este tipo de robos cibernéticos. Además, durante estas dos semanas aumentaron los intentos de ataques a empresas y entidades.
Usuarios: buenos hábitos
La empresa debe educar a sus usuarios en las medidas de seguridad y protección que deben seguir constantemente. El cliente desconfiará de la empresa si tiene alguna situación donde se vea afectado. Pero la empresa debe dar otros pasos.
—La tienda web debe brindarle seguridad al cliente mediante la autenticación de doble factor, un mecanismo donde se envía un código al móvil o dispositivo registrado por la persona cuando ingresa a realizar una compra. El doble factor de autenticación también se aplica si la persona está comprando desde una computadora diferente a la habitual, si cambia de contraseña o si olvidó sus claves.
Los usuarios, por supuesto, deben recordar otras medidas básicas. “Hay varias buenas prácticas que debemos implementar, muy sencillas, para tener una experiencia de compra y navegación tranquila por Internet”, dijo Ariel Rochwerger, fundador y Co-CEO de Fygaro, una plataforma para tiendas en línea.
—Fijarse si utiliza la última versión del navegador y si está actualizada, pues la la mayoría de navegadores modernos tienen herramientas para identificar sitios falsos y malware.
—Confirmar que se utiliza una conexión segura. Esto se logra buscando el ícono de un candado cerrado y que la dirección web tiene una “S” en la parte del protocolo “httpS” (si solo dice http significa que la conexión no es segura ni cifrada).
—Fijarse que se está ingresando al sitio web correspondiente y no a uno falso (con solo fijarse en la dirección web o URL sea el correcto). Los usuarios, cuando van a ingresar a una tienda en línea, deben digitar el URL del sitio web y no deben rastrearlo a través de buscadores pues hay quienes pueden pagar pautas con URLs maliciosas.
“En la práctica esto no debería darse, pero lastimosamente es algo que se da”, dijo Carlos Alberto Umanzor, director de tecnologías de información de Nidux, otra plataforma para tiendas en línea.
—Cuidarse de todos los mensajes que les lleguen a través de correos electrónicos, mensajes cortos de texto (SMS), Messenger o WhatsApp u otras vías, como una llamada telefónica.
—En caso de duda y sentir que la página no es real, se puede buscar la empresa en redes sociales y confirmar la dirección del sitio web.
—Una medida práctica es utilizar una tarjeta de crédito o débito con montos limitados, distintas a las usuales y ligadas a otras cuentas exclusivamente para compras en línea.
Responsabilidad de los negocios
—Para que los usuarios tengan doble autenticación, evidentemente, las empresas deben implementarla ya sea que el sitio fue desarrollado a encargo o que utiliza alguna de las plataformas existentes.
—Compruebe la seguridad y protección de tanto de la interfase de la tienda web y de todo el proceso de compra. “Los datos deben viajar encriptados entre las aplicaciones y los usuarios”, recalcó Castro, quien recomendó obtener certificados de seguridad como los de Verisign, Thawte y GoDaddy.
—Utilice plataformas que cumplan con los lineamientos y la certificación Payment Card Industry Data Security Standard (PCI-DSS), que garantiza que se siguen las mejores prácticas de seguridad para proteger los datos de pago y la experiencia del cliente, así como que se realizan escaneos constantes de la plataforma.
—Cuando se hospeda la tienda de una empresa en una plataforma se debe verificar que todos los plugins y sistemas estén actualizados.
—“Algo muy importante también es verificar que el sistema no guarde los números de tarjeta del cliente salvo si utilizamos un proveedor de tokenización certificado”, dijo Rochwerger, de Fygaro.
—El sitio web o su plataforma deben mantenerse actualizados. Es necesario revisar constantemente si aparecen vulnerabilidades y, si es así, resolverlas a tiempo. No es la única medida tradicional a implementar.
—Se debe crear un plan de acción con un calendario que ayude a realizar verificaciones y garantizar que todo el sistema esté actualizado.
—Un complemento para prevenir y mitigar problemas es implementar una herramienta de ayuda. Dos importantes y fáciles de utilizar son SiteLock, la cual monitorea que los archivos de nuestro sitio no hayan sido comprometidos y alerta de cualquier sospecha, y CloudFlare que ofrece diferentes sistemas para proteger al sitio web.
—La empresa debe contar con antivirus, murallas de fuego (firewalls), estrategias de respaldos y de almacenamiento en centros de datos seguros, y tener control de accesos, credenciales y permisos.
—Controlar quién tiene acceso a las bases de datos y a las plataformas de su tienda en línea, revisar y cambiar los privilegios de quienes tengan acceso según sus funciones. Eso incluye una medida de sentido común. Por ejemplo: ¿por qué tanta gente tiene acceso a las redes sociales o al sistema de la tienda web?
—Elimine accesos, permisos, contraseñas y cuentas de desarrolladores o consultores externos después que entregaron un sistema o tienda web y de encargados internos que ya no estén en la empresa.
—Revise las credenciales de los colaboradores y que los permisos corresponden a las responsabilidades que tienen.
—Si Usted cambia la persona encargada de su tienda web y de sus redes sociales deberá usar también las claves. Lo mismo aplica con todos los demás sistemas. Eso implica que nunca se debe —ni puede— perder el control de los accesos.
—Se pueden utilizar herramientas donde se establece un tiempo de vigencia de las contraseñas o claves, de forma que cada cierto tiempo —por ejemplo, cada mes— cada persona cambie su contraseña y el acceso sea autorizado (no es solo que cambie las claves).
—Otra medida es realizar auditorías para asegurarse que no hay un usuario extraño.
—El monitoreo constante debe incluir estar atentos al tráfico para detectar comportamientos sospechosos de alguien queriendo hackear la tienda web o los sistemas de la empresa. “No existen medidas 100% infalibles por mucho tiempo, siempre hay que ir mejorando sobre la marcha”, recalcó Umanzor, de Nidux.
:quality(70)/s3.amazonaws.com/arc-authors/gruponacion/bbd96111-9fe4-4178-97c0-71158e2dbe9d.png)