No hay nada más emocionante que crear un nuevo sitio de comercio electrónico. La idea de crear algo desde cero y trabajar hasta alcanzar un nivel de éxito empresarial totalmente novedoso puede ser muy estimulante. Sin embargo, es importante evitar que la emoción nos distraiga de garantizar que implantamos las precauciones adecuadas, en particular en relación con la ciberseguridad.
Cada día, los hackers buscan nuevas formas de robar información corporativa y de clientes para su propio beneficio. Cualquier dato de cliente puede utilizarse con fines malintencionados, desde la venta de direcciones de correo electrónico en el mercado negro hasta el uso de números de tarjetas de crédito para suscribir préstamos desorbitados sin que el cliente lo sepa. Además, no solo está en juego la información robada y la confianza de los clientes, sino el coste de una filtración de datos de gran alcance, que también podría arruinar a su sitio, ya que el coste medio de las sanciones y tasas a las que debe hacer frente una empresa después de sufrir un ataque puede superar los $4 millones de USD.
Teniendo esto en cuenta, es importante que proteja su sitio hoy y en el futuro. A continuación, le ofrecemos algunos consejos para conseguirlo.
1. Comience aplicando contraseñas inteligentes
El primer paso hacia una seguridad eficaz es contar con contraseñas sólidas que incluyan una combinación específica de números, mayúsculas y minúsculas y caracteres especiales. Una de las tácticas más usadas por los hackers son los ataques de fuerza bruta, en los que el atacante utiliza un programa informático para probar cientos de contraseñas con la esperanza de dar con la información correcta. Una vez que ha accedido al sistema, el atacante puede robar información confidencial o instalar malware o ransomware, que podría bloquear su sitio hasta que abone el dinero que se le exige.
Cuando los clientes creen nuevas cuentas en su sitio web, deberá especificar que las contraseñas deben ajustarse a unos requisitos de seguridad sólidos.
2. Añada certificados SSL/TLS
A continuación, durante la creación de su sitio, asegúrese de protegerlo con un certificado SSL/TLS, que cifrará activamente la información que sus clientes introduzcan en los formularios online. Una vez cifrados, los datos no podrán usarse con fines ilegítimos. Al contar con un certificado SSL, el protocolo HTTP que aparece al inicio de su dirección web cambiará a HTTPS, en el que la letra «S» significa seguridad.
Actualmente, la mayoría de proveedores de servicios habilitan automáticamente el protocolo HTTPS en su sitio desde el primer día, pero, si no puede visualizarlo, pregunte por él. Hoy en día los clientes cuentan con mucha información y, si no encuentran la «S» en su dirección web, es posible que decidan comprar en otro sitio.
3. Permanezca alerta de los ataques de ingeniería social
Tanto usted como sus empleados deben conocer los ataques de ingeniería social más usados por los atacantes para engañar a los usuarios y conseguir acceso no autorizado a su sistema. Se trata de algo especialmente importante porque estos sencillos ataques son muy eficaces y son responsables del 98% del total de vulneraciones de ciberseguridad.
Las más básicas de estas estrategias son las oportunidades tentadoras, en las que, por ejemplo, el atacante deja una memoria USB en la oficina o en un lugar público a la espera de que algún curioso se decida a tomarla y conectarla a su ordenador. Una vez conectada la memoria USB, el atacante accede remotamente e irrumpe en el sistema. Recuerde a sus empleados que nunca deben conectar dispositivos desconocidos y deben informar de la presencia de los mismos inmediatamente.
Otro engaño común son los correos electrónicos de suplantación de identidad. Aunque pueden parecer una comunicación legítima procedente del equipo directivo o de TI, en realidad el objetivo es conseguir que la víctima revele datos personales o facilite al atacante acceso sin saberlo haciendo clic en un enlace o adjunto maliciosos. Es frecuente que las empresas de comercio electrónico reciban correos electrónicos solicitando la verificación de la información de inicio de sesión. Sin embargo, a menos que confíe en el origen del mensaje, es probable que se trate de un atacante tratando de obtener información de la forma más sencilla.
4. Realice copias de seguridad de sus datos y protéjalos
También debe realizar copias de seguridad de los datos corporativos y de cliente para poder recuperarlos fácilmente en caso de pérdida. Adquiera servidores para copias de seguridad y traslade todos los datos a esta ubicación externa en cuanto los reciba. Esta copia de seguridad debe estar protegida mediante contraseña y cifrada, de modo que los datos queden inservibles en caso de ser sustraídos. Combine su contraseña con la autenticación de dos factores, que constituye un código adicional que también debe introducirse para poder acceder a los datos.
5. Cuente con ayuda adicional
Al inicio de su aventura digital, comprobar las contraseñas y actualizar el software puede ser relativamente fácil. Sin embargo, si sus planes son ampliar el negocio o no tiene tiempo para realizar las comprobaciones de seguridad adecuadas, es posible que necesite contar con ayuda externa. Dos excelentes opciones que puede plantearse son colaborar con un Proveedor de servicios gestionados (MSP) o con un socio de servicios de computación en la nube.
Un MSP es un proveedor externo contratado que le ofrece la seguridad que necesita. Mientras usted se centra en hacer crecer su negocio, el MSP gestiona la estructura de su sitio y las cuentas de usuario, actualiza los datos de forma ininterrumpida y garantiza que se realizan copias de seguridad de la información con el objetivo de proteger a sus clientes. Estas empresas están formadas por algunos de los expertos en seguridad más inteligentes del mundo, por lo que son una buena opción si puede permitírselo.
Independientemente de si su negocio comienza a rodar o ya está en funcionamiento, es posible que le interese trasladar muchos de sus servicios a la nube. Se trata esencialmente de un espacio digital en el que puede almacenar todos sus programas y datos, eliminando así la necesidad de contar con servidores físicos. Muchos proveedores de computación en la nube también cuentan con sus propios expertos en seguridad, quienes supervisan su sitio web desde un segundo plano. Se trata de una excelente opción si no dispone de demasiado espacio físico ni conocimientos sobre seguridad.
Al fin y al cabo, el éxito de su sitio de comercio electrónico depende de sus esfuerzos, y parte de este éxito depende de contar con una estructura de seguridad sólida. Implante estos procesos ahora para conseguir que su empresa sea más resistente y fiable en el futuro.
Nota: esta publicación en el blog fue redactada por un colaborador invitado con el objetivo de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas por el autor del artículo son exclusivamente suyas y no reflejan necesariamente las de GlobalSign.