La transformación digital ha provocado el auge del comercio electrónico, que ya venía consolidándose firmemente con la ayuda de la pandemia de la Covid-19. Sólo hay que atender a las cifras que deja el Observatorio Nacional de Tecnología y Sociedad: la figura del ecommerce en España sube más de un 15% y ronda ya los sesenta mil millones de euros en facturación. Además, el número de usuarios que realiza compras por internet supera los veinticinco millones y mantiene su ritmo de crecimiento. Ante un escenario como este, repleto de datos personales, surge su obstáculo natural: la amenaza de los hackers.
La piratería informática está bombardeando constantemente las plataformas online dedicadas al comercio electrónico, consiguiendo en multitud de casos que los negocios vivan terribles consecuencias en el rumbo de su funcionamiento. El robo de datos personales de la clientela o la interrupción de la actividad están desencadenando esencialmente dos cosas: la pérdida de confianza entre los compradores y un parón en las ventas que no siempre termina de restablecerse.
Principales amenazas
No cabe duda de que la ciberseguridad debe ocupar un lugar privilegiado en el ranking de prioridades de una tienda virtual. Ahora bien, conviene conocer cuáles son los riesgos más habituales que sufren estos entornos para comenzar a ponerles remedio. En primer lugar, la experiencia nos dice que los ataques DDoS (Distributed Denial of Service), comúnmente conocidos como ataques de denegación de servicio, están a la orden del día. Estos se producen cuando una comunidad de personas o bots actúa al mismo tiempo contra un servidor determinado, provocando con este tráfico masivo el colapso del mismo y, por lo tanto, el bloqueo en el servicio del portal dedicado a la venta online.
También la denominada inyección de código es otra de las agresiones más temidas por los ecommerces. En este caso, la idea pasa por cambiar ciertos parámetros que conforman la estructura del sitio web para impedir que su funcionamiento sea el correcto, para limitar los accesos o para robar o eliminar datos de interés. Existen esencialmente dos formas de hacerlo: inyectando código SQL (Structured Query Language) o mediante XXS (Cross-Site scripting). La primera de las técnicas se encarga de obtener información sensible de la base de datos de la plataforma, mientras que la segunda centra sus esfuerzos en dirigirse a los usuarios que se conectan a la página web e intenta secuestrar la sesión y sus contraseñas.
Soluciones a la altura
Las fallas en la programación del sitio hacen que este se encuentre desprotegido en todo momento ante amenazas como estas, por lo que resulta fundamental crear una estructura sólida dentro del propio ecommerce. En este sentido, conviene tener siempre actualizado el soporte sobre el que se crea la tienda virtual, es decir, el CSM, como pueden ser por ejemplo PrestaShop o WooCommerce. Con ello se consigue que el sistema renueve sus medidas de seguridad y adopte otras nuevas sobre vulnerabilidades constatadas.
A partir de ahí, el uso de otras herramientas de protección contra la inyección de código y similares se vuelve imprescindible. Web App Firewall es una de ellas, un cortafuegos que se encarga de gestionar el tráfico que trata de acceder a la tienda y que pone especial énfasis en el control del intercambio de datos que se produce entre la web y el servidor. El uso del sistema Content Delivery Network es otro de los recursos más empleados, concretamente para evitar ataques DdoS y garantizar siempre una fuente de recursos efectiva frente a las exigencias del tráfico voluminoso. Su funcionamiento consiste en crear una red de servidores que ayude a mitigar las cargas de trabajo de recepción de un sitio web. Cloudflare o Akamai son las soluciones más populares.
Las pasarelas de pago representan otro de los puntos vulnerables más aprovechados por la ciberdelincuencia, y es que se trata del segmento sobre el que los compradores vuelcan sus números de cuenta y claves personales a la hora de la compra. Para impedir el robo es crucial tener instalado el célebre protocolo de seguridad SSL (Secure Sockets Layer) de 128 bits, cuyo papel pasa por encriptar este tipo de información para que quede oculta frente a terceras personas.
Se trata de la tecnología más potente que existe en este campo, y cuenta además con una trayectoria impecable en aquellos entornos digitales que centran su día a día en realizar miles de transacciones económicas a través de internet, como pueden ser los bancos o las plataformas de juegos de azar. No en vano, las entidades bancarias y los casinos online son fiables en España gracias a la implementación de esta herramienta a nivel interno. Un algoritmo lleva a cabo un complejo proceso de generación de claves aleatorias de 128 bits de tamaño que, a modo de muro inexpugnable, impiden el acceso de los hackers. Estos deberán descifrarlas para poder llegar a los datos personales que viajan hasta el servidor, cosa más que improbable. Con este mecanismo la industria del juego ha logrado consolidarse como uno de los espacios más seguros de la red, por lo que no es de extrañar que el comercio electrónico tome buena nota de ello a la hora de despertar confianza y consumar así un mayor número de ventas.
Finalmente, sólo resta poner el foco sobre el sistema de copias de seguridad que todo ecommerce debe incluir en su estructura. La gran ventaja que se desprende de esto es la posibilidad de reestablecer el servicio de manera inmediata cada vez que se sufra una interrupción por culpa de un ataque malicioso.
