Escenario del eCommerce en Chile: ¿Hacia dónde avanza en ciberseguridad?

Con los cambios de consumo a nivel global, el comercio electrónico ha crecido exponencialmente superando a la venta tradicional. Esto se puede atribuir a diversos factores, como los días de súper ofertas -que estimulan la venta en dichos canales-, nuevas plataformas de venta p2p estilo Marketplace, y sostenida expansión de gigantes de la venta online.  […]

Con los cambios de consumo a nivel global, el comercio electrónico ha crecido exponencialmente superando a la venta tradicional. Esto se puede atribuir a diversos factores, como los días de súper ofertas -que estimulan la venta en dichos canales-, nuevas plataformas de venta p2p estilo Marketplace, y sostenida expansión de gigantes de la venta online. 

Columna de opinión por Fernando Lagos.

Como consecuencia del crecimiento del eCommerce, también han aumentado las plataformas que facilitan el intercambio de dinero, como intermediarios, getaways o procesadores de pago, lo cual nos ha llevado a hablar de conceptos como el openbanking que buscan facilitar la interacción entre el comprador, el intermediario y el vendedor.

Sumado a lo anterior, no podemos dejar fuera a las plataformas que permiten realizar transferencias electrónicas. Podemos destacar, por ejemplo, las nuevas formas de pago como el contactless (a través de un smartwatch, por ejemplo) o la autorización de compras a través de aplicaciones móviles. Esto genera una situación de win-win: por una parte, quienes compran evitar el uso de dinero en efectivo; y por el lado del vendedor, se otorgan beneficios a cambio de programas de fidelización con el beneficio extra de la obtención de datos de comportamiento de los clientes.

En todo este sistema virtual de comercio hay un concepto que hoy es clave: la ciberseguridad. Sin aplicar la ciberseguridad en los distintos tipos de intercambio descritos el comercio electrónico sería inviable, por la enorme cantidad de riesgos y amenazas a las que los servicios de negocio se verían expuestos.

En este sentido, la seguridad digital toma un rol muy importante en el ecosistema de negocios que hoy conocemos. El comercio, los intermediarios, pasarelas, procesadores de pago y empresas de delivery, así como para el usuario final que adquiere el producto o servicios.

Acá podemos identificar los cuatro actores principales de este ecosistema: Comercio, medio de pago, empresa de delivery y usuario final. Aunque en ocasiones, todos ellos pueden ser de la misma empresa, debemos considerar que no siempre es así y que nuestra información viajará a cada uno de ellos.

Entre los ciberataques más comunes que se han visto durante los últimos años en relación con el comercio electrónico, sobresale el robo de información relacionada con las tarjetas de crédito, ya que estas son muy cotizadas en el mercado negro y permiten realizar fraudes de una manera muy sencilla. 

Existen grupos de ciberdelincuentes especializados en el robo de bases de datos que contienen los datos de tarjetas de crédito e información personal necesaria para realizar una compra. Si bien existe una normativa internacional que busca asegurar el tratamiento, almacenamiento y uso de este tipo de información, la realidad es que aún existen muchos comercios que no cumplen esos estándares o descuidan algún protocolo que permite a los atacantes explotar alguna vulnerabilidad en sus sistemas.

Otro ataque muy utilizado es la realización de tampering, el que permite modificar el valor de los productos y/o despacho, o modificar los datos de pago para que sean cargados a un tercero.

En NIVEL4 nos hemos especializado en entregar todo el apoyo necesario para el diseño e implementación de medios de pago seguros, que permitan garantizar la seguridad de los datos personales y de pagos, y de esta forma poder prevenir fraudes, considerando al menos los siguientes aspectos:

• Flujo de compra: Es necesario realizar un análisis desde el punto de vista de seguridad a todo el flujo de compras, desde que se ingresa al catálogo hasta que se introducen productos en el carro de compras y se inicia el proceso de checkout. Estas pruebas permiten detectar vulnerabilidades o debilidades que permitan realizar comprar sin stock, agotar stock de productos de forma arbitraria o manipular el precio de un producto.

• Flujo de pago: Estas pruebas permiten validar el flujo completo de pago, desde que se inicia el proceso de checkout hasta que se realiza el pago ya sea de forma satisfactoria o con error. Permite detectar el uso incorrecto de cupones de compra o de descuento, modificar valores o cantidades previamente establecidas en el flujo de compras, autorizar compras que fueron rechazadas, generación de comprobantes u órdenes de compra falsas, etc.

• Tampering: Mediante estas pruebas se busca validar el correcto flujo de la aplicación con el fin de que no pueda ser alterado. Permite encontrar vulnerabilidades en plataformas transaccionales.
  

Por ende, debido al aumento significativo del uso del comercio electrónico, aparición de nuevas formas de pago y con el fin de poder asegurar por completo el proceso de compra de un eCommerce, es necesario trabajar la seguridad de las plataformas desde su inicio hasta su puesta en producción, integrando especialistas de ciberseguridad a las células de desarrollo, realizando análisis de código y pruebas de intrusión de forma temprana durante el ciclo de desarrollo y posteriormente realizar las correspondientes pruebas de seguridad en producción. 

La ciberseguridad es hoy. Asegura tu compañía, protege a las personas