E-Skimming, cómo evitarlo

Todos recordamos como, hace ya unos cuantos años, se robaban tarjetas de crédito en los cajeros automáticos mediante unos dispositivos de clonación con los que obtenían todos los datos y el código PIN del usuario. Esta práctica, con algún matiz distinto, es la que ahora usan algunos delincuentes en el mundo digital como una técnica de robo que se denomina E-skimming. Está empezando a ser un problema bastante serio hasta el punto de que el propio FBI ha publicado una alerta sobre el incremento de campañas de publicidad maliciosas cuyo único objetivo real es robar los datos bancarios y la información personal de los usuarios que realicen compras por internet y cuyo pago se realice mediante tarjetas bancarias.

Este fraude se lleva a cabo en tiendas online reales, de toda confianza, con lo que el usuario no puede detectar, de ninguna forma, que va a ser objeto de fraude. Estos ciberdelincuentes obtienen acceso a la tienda online mediante algún tipo de vulnerabilidad en la gestión de los contenidos o mediante campañas de reclamo de facturas falsas, método conocido como Phishing. Cuando logran acceder a la tienda online, modifican su código fuente para que cuando el cliente proceda a hacer un pago o a dar una información bancaria, sea enviada al banco y al mismo tiempo robada. El pago nos aparecerá como correcto y ni el cliente ni la tienda online detectarán el robo de la información.

Esta técnica maliciosa afecta principalmente a aquellos pequeños y medianos comercios cuya pasarela de pago está integrada en la propia tienda online.

Cómo evitarlo

Aunque no podemos evitar un ciberataque, sí es posible minimizar sus consecuencias incluso lograr que este no pueda llevarse a cabo con éxito.

La mejor forma de prevenir el E-skimming es tener un software completamente actualizado en la última versión disponible. Es importante que toda la gestión de contenidos por parte de la tienda online y del servidor en el que está alojada esté actualizado para que los ciberdelincuentes no puedan valerse de algún tipo de resquicio conocido, de cualquier vulnerabilidad que puedan poseer los software de versiones más antiguas y por tanto mucho más conocidas en sus debilidades.

Las credenciales de acceso a la tienda online han de ser seguras y fuertes. En muchas ocasiones los delincuentes consiguen el acceso a la tienda online mediante ataques masivos automatizados que van probando combinaciones de contraseñas y usuarios, lo que ha dado en llamarse técnicas de fuerza bruta. Es imprescindible tener nombres de usuario poco comunes y contraseñas de alto nivel de seguridad con los que tratar de impedir que este ataque masivo logre dar con la combinación exacta de nuestros datos o con el acceso a nuestra web. Si es posible se debe habilitar un doble factor de autenticación para el acceso a la administración de la tienda online, duplicando las barreras y por tanto la seguridad.

La mejor forma de evitar riesgos es tener un cuidado especial en la seguridad de la empresa y esta pasa, principalmente, por el uso que le van a dar los empleados y los clientes. La información siempre es poder, y ser consciente de estos fraudes, disponer de una buena información y concienciación de ambas partes hará menos posible que se ejecuten acciones de riesgo que puedan comprometer la seguiridad. Aunque el riesgo de sufrir un ciberataque es algo que no podemos prever, sí podemos tratar de que este tenga las menores consecuencias posibles. Segmentando la red para que no todas las partes se vean afectadas en caso de sufrirlo y que si un ciberdelincuente accede a la tienda online o al servidor no pueda acceder al resto de la red donde hallaría mucha más información, es otra de las técnicas de seguridad a implementar.

Si poseemos un E-commerce que ofrece pagos con tarjeta bancaria debemos disponer de una pasarela de pago y esta puede estar integrada en la misma tienda online o en un tercero, en este caso una entidad bancaria. Si está integrada en la propia tienda online hay que protegerla mediante técnicas y estándares de seguridad como por ejemplo el CSP, Content Security Policy, mediante el cual solo se permite cargar fuentes previamente autorizadas, o el SRI, Subresource Integrity, un mecanismo que no permite cargar archivos modificados sin un permiso previo, evitando que los ciberdelincuentes puedan ejecutar un código malicioso dentro de los archivos legítimos.

Otra alternativa es tener una pasarela de pago de un tercero, que es la que nosotros, desde Futurvía, siempre aconsejamos. En el caso de las tarjetas de crédito o débito este tercero sería la entidad bancaria. En este caso las tiendas online no gestionarían ninguna información bancaria de los clientes, por lo tanto, están libres de sufrir estos ataques. Los bancos se encuentran en entornos más seguros, controlado por la misma entidad bancaria con métodos de seguiridad más sofisticados y con los riesgos ya asumidos por su parte, de forma que en caso de de verse comprometida la integridad de la cuenta de pago, es el propio banco el que asume las responsabilidades mientras nosotros delegamos a la entidad bancaria la seguiridad de lso pagos que se realicen en nuestra tienda online.

Esta última técnica es la que utilizamos en Futurvía. Somos conscientes de que cualquier entidad bancaria tiene una seguridad mayor que la que pueda disponer una tienda online y que son mucho menos vulnerables a los ciberataques. Gestionando desde el propio banco todos los datos de nuestros clientes se minimiza el riesgo y se eluden las responsabilidades que pudieran derivar de un fraude, con lo cual apotramos una dosis de tranquilidad a nuestros clientes que pueden centrarse en su trabajo y en su tienda online sin preocuparse por otra cosa que no sea prosperar en el mundo del E-commerce y sacar el máximo partido posible a sus tiendas online.