blog.1.image
Ecommerce
2020-09-07

6 recomendaciones técnicas para mantener un e-commerce seguro

Fabían Rodriguez
Back to Blog

Administrar un sitio web de e-commerce conlleva estar a cargo de aspectos que van mucho más allá de la logística, uno de ellos es la seguridad, que es algo a lo que hay que prestarle atención, ya que cada año se reporta un aumento importante de fraudes y delitos. La ACI WorldWide, una organización que impulsa soluciones de pagos digitales en todo el mundo, reporta que durante el año 2020 la tasa de intentos de fraude ha sido del 5,3% un aumento considerable teniendo en cuenta que en el año 2019 era del 3,7%.

Sabiendo esto, algunas recomendaciones de seguridad que podemos seguir son las siguientes:

1. Usar un headless e-commerce para dividir la arquitectura de las aplicaciones

Es común que al desarrollar un e-commerce se opte por soluciones monolíticas, es decir, un solo software administra la totalidad de la aplicación (base de datos de productos, transacciones de clientes, etc). Uno de los problemas de este tipo de aplicación es que una caída de alguno de los servicios afecta a todo el sistema. Por otro lado, tenemos a los headless e-commerce, una solución que permite separar la entrega del contenido y transformarla en un API, de tal forma que el front-end, es decir, la parte visual de la aplicación es construida de manera independiente con cualquier otra tecnología y queda a elección de los encargados del desarrollo de la tienda.

Los headless e-commerce presentan varias ventajas de seguridad, ya que las API expuestas usualmente son de solo lectura, además, al presentar una estructura de contenidos separada por varios endpoints, un ajuste en alguno de los componentes no afecta a toda la web sino al componente en específico.

2. Implementar el estándar PCI y usar un proveedor de pagos externo

El estándar PCI-DSS (Payment Application Data Security Standard) son una serie de recomendaciones técnicas que dicha organización promueve para mantener seguros los pagos en línea. En sus guías hacen algunas recomendaciones, como por ejemplo, almacenar la menor cantidad de datos posibles sobre el titular de una tarjeta de crédito.

Adicional a esto, una buena práctica sería delegar el sistema de pagos a un servicio de terceros para procesar toda esta información en lugar de hacerlo desde la misma aplicación, de esta forma se evita tener datos sensibles en las bases de datos.

3. Monitorear las transacciones sospechosas

Tener transacciones fraudulentas da paso a tener enormes pérdidas monetarias, estos comportamientos suelen ser de varios tipos y por tal razón siempre hay que revisar patrones inusuales que nos den un indicio para así evitar fraudes en el futuro. Existen acciones que podemos caracterizar como actividades sospechosas, tales como:

  • Se utiliza más de un método de pago con diversas credenciales desde una misma dirección IP.

  • Muchos pedidos de un mismo artículo por parte de un nuevo cliente.

  • Los pedidos que se envían a una misma dirección pero con distintos métodos de pago podrían indicar un robo de credenciales.

Existen muchos módulos o extensiones de software que se integran a las plataformas más populares como Shopify o WooCommerce que detectan estos comportamientos automáticamente proporcionando una puntuación que advierte de una potencial conducta sospechosa.

4. Haga pruebas técnicas de seguridad web

Uno de los vectores de ataque por parte de hackers suele ser vulnerar la seguridad del sitio web en sí mismo, esto lo logran buscando y encontrando fallas de funcionalidades que han sido desarrolladas sin estándares de seguridad, por lo que es responsabilidad del equipo escribir un código seguro para evitar las amenazas de seguridad más comunes:

  • Inyecciones SQL: Es una vulnerabilidad en las aplicaciones que permite ejecutar consultas dentro de su base de datos, de esta forma es posible acceder a datos sensibles fácilmente.

  • Cross Site Scripting (XSS): Es una falla que ocurre al no validar los campos de entrada y que permite ingresar caracteres especiales, esto se puede aprovechar para ingresar código malicioso que ejecute instrucciones para robo de datos, por ejemplo, en un e-commerce podría usarse para hacer redirecciones a páginas falsas que posteriormente capturen información de medios de pago. 

Para mitigar esto, el equipo de desarrollo puede guiarse inicialmente por un escáner de vulnerabilidades online como el de Pentest-Tools.com o usar un marco de trabajo como el de OWASP, en donde se encuentran recursos y herramientas para hacer auditorias de seguridad a las aplicaciones.

5. Proteja la autenticación en el sitio web y las contraseñas

Muchos de los delitos informáticos se basan en intentar obtener acceso a un panel de administración o escalar privilegios, razón por la cual las existen varias recomendaciones como lo son:

  • Sistema para evitar fuerza bruta: Los ataques de fuerza bruta son aquellos en donde el delincuente intenta a través de un diccionario, acceder al panel de administración probando miles de contraseñas en pocos minutos y de forma automática.

    En el mercado existen muchas extensiones o plugins que se pueden integrar a sistemas de e-commerce existentes, pero en algunos casos habrá que programar este sistema desde cero, por lo que es importante hacer cosas como bloquear intentos fallidos de inicio de sesión desde una misma dirección IP o limitar el número de intentos, por ejemplo, a tres y luego bloquear al usuario por 24 horas.

  • Autenticación de 2 pasos (2FA): En lugar de permitirle a los usuarios de la aplicación iniciar sesión solo con email y contraseña, también puede integrar un sistema de autenticación que solicita un código adicional que se genera a través de una aplicación externa y que tiene una duración limitada en el tiempo. Esto sin duda dificultará a los delincuentes tener acceso a la cuenta de un usuario.

6. Incluya siempre un certificado SSL

El estándar SSL es un protocolo de seguridad muy extendido hoy en día, básicamente permite encriptar las transacciones en línea que los usuarios hagan en un sitio web y de esta forma, proteger los datos que pasen por allí.

Los usuarios buscan la máxima confianza al entrar a un sitio web de e-commerce, por lo que tener un certificado de seguridad les brindará las razones suficientes para continuar comprando en su sitio web.

Conclusiones

A diferencia de un sitio web tradicional, los sitios de e-commerce gestionan datos y dinero de los usuarios, por lo que tener una tasa de fraudes alta y no cuidar la seguridad en las aplicaciones hará que sus usuarios desconfíen constantemente de comprar en el sitio y por lo tanto, perderá credibilidad rápidamente.

Seguir estándares como el PCI-DSS es una buena forma de empezar, pero también se puede optar por utilizar nuevas tecnologías que ya implementan muchas opciones de seguridad, tales como los headless e-commerce, que ya se están convirtiendo en una tendencia.

Share this article:
FacebookTwitterLinked In

More great articles

blog.5.image
2020-09-15

7 habilidades blandas que buscan las empresas en un desarrollador de software

Las habilidades de codificación por sí solas parecen no ser suficientes para conseguir el trabajo en...

Read Story
blog.5.image
2020-09-15

Factores claves para mejorar el SEO de tu negocio e-commerce

La mayoría de las búsquedas, exactamente 90% de las búsquedas para cualquier producto ocurren en Goo...

Read Story
blog.5.image
2020-09-04

Las posibilidades de la realidad aumentada en el e-commerce

La tecnología de realidad virtual y la realidad aumentada ha creado expectativas altas para ser impl...

Read Story