¿Cómo prevenir los intentos de fraude prenavideño en ecommerce?

Raimund Genes, CTO de Trend Micro

Métodos de Pago

28 Noviembre, 2014

Los últimos 12 meses han sido bastante traumáticos para algunos conocidos minoristas de Estados Unidos. Desde Target hasta Home Depot y GoodWill, los sistemas de órdenes de compra se han visto afectados por todos lados, dejando al descubierto cientos de millones de datos de titulares de tarjetas. Según se acerca el ajetreado período de compras de Navidad, ¿qué lecciones pueden sacar los CIO de todo esto? y ¿supone esto un problema a tener en cuenta para 2015?

Es bastante obvio que Estados Unidos es como “el salvaje oeste” en lo que a brechas de seguridad en órdenes de compra se refiere. Esto es así en gran parte porque el país - el de más usuarios de tarjetas de pago - todavía está dominado por la tecnología de banda magnética como método de autenticación. Reino Unido emplea el chip y PIN desde hace más de seis años y en el resto de Europa desde un poco después, mientras que hoy en día más de 80 países, incluyendo la mayor parte de Asia, están implementándolo. En estas regiones, este despliegue ha hecho que, en gran medida, el ataque a los sistemas de órdenes de compra sea una mala opción para los ladrones de datos, por lo que se mueven más en entornos online y en el canal de MOTO (mail order telephone order – pago mediante tarjeta de crédito a través del mail), que en conjunto constituyen la mayoría de los fraudes de tarjeta-no-presente en algunos países de Europa, como Reino Unido.

Acorralando al fraude de tarjeta-no-presente
A pesar de que el Reino Unido  es un lugar relativamente seguro para hacer negocios, el fraude de tarjeta-no-presente aumentó un 23% respecto al mismo periodo del año anterior desde 142 millones de libras hasta 174.5 millones de libras en el primer semestre de 2014, según Acción contra el Fraude Financiero del Reino Unido. El canal de MOTO, en particular, está en el punto de mira de los defraudadores ya que no existe intención por parte de la industria de cerrarlo. Podría ser útil para más bancos que ofrecen a los usuarios la opción de cambiar las notificaciones por correo electrónico cada vez que existe una transacción que involucra a sus tarjetas. Esto podría, al menos, alertar a los clientes de que una tarjeta ha sido copiada y utilizada de manera fraudulenta.

Sin embargo, es el comercio electrónico donde la mayoría de los CIO deben concentrar sus esfuerzos para prevenir el fraude. Los estándares de la industria PCI DSS deberían ser el punto de partida para mejorar las prácticas sobre la manera de almacenar y gestionar los datos de los titulares de las tarjetas de manera segura. Se recomienda cifrado de alta seguridad y prevención de pérdida de datos, que deberían estar en la mesa de cualquier CIO de una gran empresa de cara al cliente.

También diría que es importante mantener los datos de los clientes en bases de datos separadas y relacionarlas con un índice. Esto supone que si hubo una violación, se obligaría al intruso a saltar de una base de datos a otra y luego averiguar el algoritmo que los mantiene unidos. Incluso si no se roban los datos de la tarjeta, una violación de las bases de datos de los clientes podría crear mala publicidad afectando seriamente el precio de la acción, la fidelidad del cliente y la imagen de marca.

Para fortalecer los sistemas, es necesario mantener todos los servidores parcheados y actualizados y encontrar la forma de sistemas de blindaje, incluso si un parche no está disponible, por ejemplo,  en el caso de fallos de especial gravedad como Heartbleed y Shellshock. El consejo más importante que puedo dar a los directores de TI, sin embargo, es ejecutar periódicamente simulacros de ataque de robo de datos. Imagínese que entran en su organización. ¿Está el departamento de marketing preparado? ¿Está el departamento de TI organizado para colaborar con las autoridades? ¿Está la junta directiva acostumbrada a tratar con la prensa? ¿Qué pasa con el departamento legal y de relaciones públicas? En respuesta a las principales infracciones de la industria, muchas empresas ignoran este tipo de simulacro  y en su lugar simplemente incrementan sus presupuestos en seguridad. Pero, como sabemos, la seguridad nunca es 100% total y los atacantes son muy insistentes, por lo que es importante estar preparado.

¿Se avecina una tormenta?

Como si eso no fuera suficiente para empezar a poner en orden la seguridad de su comercio electrónico, es más que probable que una vez que EE.UU. adopte el chip y el PIN, a finales del próximo año, el fraude se moverá hacia el fraude online. Sí,  llevará un tiempo que los sistemas de órdenes de compra se actualicen y cambien el comportamiento del cliente más allá del Atlántico, pero una vez que la "presa fácil" quede menos expuesta, puede estar seguro de que los ciberdelincuentes irán a la siguiente presa más fácil - MOTO y comercio electrónico - y el foco podría regresar a Europa.

Vale la pena recordar también que el próximo Reglamento General de Protección de Datos Europeo seguramente introducirá leyes de notificación obligatoria de violación de datos. Otra razón más para poner en orden su lucha contra el fraude y su estrategia de seguridad de datos. Sin embargo, no espere a que esto ocurra para hacerlo.  Lo que suele ocurrir en EE.UU. es que a menudo los bancos o las fuerzas del orden se dan cuenta de los picos del fraude en ciertas tarjetas e informan a la empresa afectada en cuestión, antes de que el CIO ni siquiera tenga el menor indicio.

Estas renombradas violaciones de datos en Europa han sido un fenómeno raro en el último año, pero la siguiente firma dará muchos titulares. Asegúrese de que no es usted.

 

 

Impacto

¿Qué te pareció este artículo?

  • 482
  • 0

Recomendar

Recomendar

Si te pareció interesante este artículo, sé el primero en recomendarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Relacionados

¿Está tu e-commerce preparado para el Black Friday?

A pesar de que el sector de ventas online y e-commerce ha crecido en forma y calidad...

  • 20 Noviembre, 2017
  • No hay comentarios

MPServices lanza el servicio Protected+Sales que aumenta las ventas y protege del fraude en ecommerce

La consultora de pagos y gestión del fraude MPServices ha lanzado el servicio...

  • 13 Noviembre, 2017
  • No hay comentarios

Suscribete

Toda la actualidad del ecommerce en tu e-mail

Patrocinado por: Patrocinador

¿Cuáles son los ‘Ranking factors’ más importantes para Google?

El Ministerio de Industria, a través de Red.es, destinará 5 millones de euros para mejorar la digitalización de Pymes

Uno de cada cuatro hogares españoles ya compra productos de Gran Consumo a través del canal online

Caso de éxito de Desigual: ¿Cómo identificar al cliente online en la tienda física?

Ecommbrunch Internacionalización; Mesa Redonda (Vídeo)

¿Cuál será la responsabilidad de los robots en la nueva era de la Inteligencia Artificial?

La startup francesa Habiteo cierra una ronda de 6 millones de euros y planea su llegada a España

¿Pueden las tiendas físicas salvar el comercio electrónico?

El Black Friday también vale para la alimentación

ICP Logística: preparados para el desafío del Black Friday

La celebración del Singles Day impone cambios en la estrategia comercial

La importancia de una buena estrategia de marketing como uno de los pilares fundamentales para un negocio gastronómico

El e-commerce sigue creciendo en España aunque las micropymes aun tienen poca presencia en la web

Por qué los retailers online necesitan optimizar las imágenes para mejorar la participación

Ecommbrunch Internacionalización; Mesa Redonda (Vídeo)

Ecomm&Brunch Internacionalización; Xavier Pladellorens, CEO de Deporvillage (vídeo)

Del ON al OFF (video): Padel Nuestro, Vinopremier y Electrocosto

MCC 2017(video): Case Study: Adyen + eMov

Expertos del sector debatieron en el MCC17 la irrupción del móvil en los métodos de pago (video)

Ecommbrunch Holiday Season: Mesa Redonda sobre retos en la campaña de Navidad

Ecommbrunch Holiday Season: ¿Cómo sobrevivir a una campaña de Navidad?

Más leídas

Se acabó el chollo: Hacienda gravará al 4% las transacciones en plataformas como eBay, Vibbo o Wallapop

Se acabó el chollo: Hacienda gravará al 4% las transacciones en plataformas como eBay, Vibbo o Wallapop

25.300 millones de dólares en un día; Alibaba pulveriza su record de ventas durante el Singles Day

25.300 millones de dólares en un día; Alibaba pulveriza su record de ventas durante el Singles Day

Tendencias en ecommerce para 2018 y más allá; Emoción y miedo a partes iguales

Tendencias en ecommerce para 2018 y más allá; Emoción y miedo a partes iguales

Ecommerce Review de Casa del Libro: Descubriendo la biblioteca digital más potente

Ecommerce Review de Casa del Libro: Descubriendo la biblioteca digital más potente

Amazon comienza a buscar la rentabilidad de su servicio Prime Now en España

Amazon comienza a buscar la rentabilidad de su servicio Prime Now en España

DHL apuesta por el ecommerce y prepara una inversión de 100 MM€ hasta el año 2020

DHL apuesta por el ecommerce y prepara una inversión de 100 MM€ hasta el año 2020

Carrefour lanza la mayor bodega online de España

Carrefour lanza la mayor bodega online  de España

Decathlon potencia su estrategia omnichannel con 200 nuevos puntos de recogida para compras online

Decathlon potencia su estrategia omnichannel con 200 nuevos puntos de recogida para compras online

El gran show del Singles Day que vende más que el Black Friday y el Cyber Monday juntos

El gran show del Singles Day que vende más que el Black Friday y el Cyber Monday juntos

Un 11% de las compras en España ya son online

Un 11% de las compras en España ya son online

Último número

Optimization WordPress Plugins & Solutions by W3 EDGE