El Foro Económico Mundial ha identificado los ciberataques como uno de los mayores riesgos para la estabilidad económica mundial. El estudio de perspectivas de ciberseguridad estima un aumento exponencial de los ciberataques en los próximos años, que costarán 11,5 billones de dólares en daños en 2023. La industria del comercio electrónico es una de las ocho industrias más afectadas por los ciberataques.
Con la creciente amenaza de los ciberatacantes, las empresas de comercio electrónico deben centrarse en mejorar las medidas de seguridad para proteger sus negocios y a sus clientes. Con ese fin, aquí hay una lista de verificación de 7 puntos que lo ayudará a proteger su plataforma de comercio electrónico contra ataques cibernéticos.
Lista de verificación de 7 puntos para la seguridad y privacidad en el comercio electrónico
1. Identificar las vulnerabilidades del código fuente
El 97% de las aplicaciones y el software del mundo utilizan código fuente abierto hasta cierto punto. Desafortunadamente, estos códigos están plagados de vulnerabilidades y exponen sus sitios web de comercio electrónico a una variedad de ataques cibernéticos. El informe Análisis de riesgos y seguridad de código abierto muestra que el 84% de las bases de código están plagadas de vulnerabilidades de código abierto.La cantidad de vulnerabilidades de alto riesgo en sitios minoristas y de comercio electrónico ha aumentado un 557% desde 2018. Es necesario escanear sus plataformas de comercio electrónico en busca de tales vulnerabilidades. Puede utilizar herramientas como Flawfinder, RATS, OpenVAS, OSV-Scanner, etc. para encontrar brechas de seguridad en su red. También necesita realizar un seguimiento de las actualizaciones y parches de seguridad para todas las dependencias de código abierto empleadas en su sistema.
2. Emplear autenticación multifactor (MFA)
Las contraseñas son los eslabones más débiles de la seguridad. Incluso las contraseñas más sólidas pueden ser víctimas de ataques de phishing. La autenticación multifactor dificulta que los ciberatacantes accedan a los recursos de red de su organización. MFA puede prevenir el 99,9% de los ciberataques automatizados . También ha demostrado ser eficaz contra el 96 % de los ataques de phishing masivos y el 76 % de los ataques dirigidos.Pero una plataforma de comercio electrónico también debe considerar la conveniencia del usuario al emplear la autenticación multifactor. A pesar de las vulnerabilidades, las contraseñas siguen siendo el factor de autenticación más común. Un sitio de comercio electrónico puede agregar medidas adicionales para verificar la identidad del usuario.
La primera identificación son las credenciales (nombre de usuario, contraseñas, etc.). La segunda es un código único generado automáticamente y enviado al dispositivo del usuario. El 68% de los usuarios considera que las notificaciones push móviles son uno de los métodos de autenticación más convenientes.
La autenticación multifactor garantiza una sólida seguridad de control de acceso al confirmar la identidad del usuario a través de múltiples canales. Esto disminuye la posibilidad de acceso no autorizado. Ayuda a prevenir un ataque incluso si uno de los canales de acceso está comprometido.
3. Verifique las vulnerabilidades de entrada
Los ataques de inyección se encuentran entre los tipos más comunes de ciberataques que afectan a los sitios web de comercio electrónico. Los componentes de entrada del usuario en su sitio web de comercio electrónico suelen ser vulnerables a este tipo de ataques. Debe escanear el sitio web en busca de todos los componentes de entrada del usuario y definir protocolos para la validación de los datos de entrada.Si bien la mayoría de los desarrolladores utilizan una lista negra para la validación de entradas, los piratas informáticos suelen encontrar una forma de evitarlas. En su lugar, puede utilizar listas blancas para validar entradas basadas en criterios sintácticos y semánticos que sean relevantes para diversos formularios de entrada. Esto ayuda a limitar el alcance de los ataques de inyección. También es necesario probar todos los formularios de entrada para detectar una variedad de ataques como:
- Inyección SQL
- Secuencias de comandos entre sitios
- Recorrido de ruta e inyección de nombre de archivo
- Inyección de comandos del sistema
- Inclusión de archivos locales/remotos
4. Vulnerabilidades en entidades externas XML (XXE)
Hay muchos sitios web de comercio electrónico que analizan entradas XML sin un analizador bien configurado. Estos sitios web corren riesgo porque permiten el acceso externo a su información, archivos y puertos. Además, existe el riesgo adicional de ejecutar código malicioso, así como de provocar ataques DoS y DDoS.Esto es lo que pueden hacer los desarrolladores:
- Utilice métodos de serialización específicos de clase cuando trabaje con información confidencial
- Opte por formatos de datos más simples como JSON
- Probar DTD externo para análisis
- Actualice los procesadores y bibliotecas XML periódicamente
- Implementar la validación de archivos XML entrantes.
- Pruebe todas las extensiones XML en busca de vulnerabilidades
5. Controlar los ID de sesión
Durante las sesiones web, cada interacción del usuario se caracteriza por variables como derechos de acceso y cadenas de localización. Mediante la fijación del ID de sesión, los piratas informáticos pueden explotar sesiones legítimas para lograr sus objetivos.Debe impartir protocolos para el acceso a la sesión a través de controles de autenticación y autorización. Luego, deberá realizar un seguimiento de la actividad del usuario dentro de la aplicación web de comercio electrónico utilizando los ID de sesión. El ID de sesión común utilizado por las aplicaciones web revela mucha información innecesaria, que puede ser aprovechada por un atacante potencial.
Los ciberatacantes pueden obtener información sobre el lenguaje de programación, el marco tecnológico y la información del usuario descifrando los ID de sesión. El contenido del ID de sesión debe basarse en información sin sentido para evitar su divulgación. Debe cambiar los protocolos de ID de sesión predeterminados para evitar la toma de huellas digitales.
La mayoría de los ciberataques utilizan ataques de fuerza bruta para identificar sesiones válidas. Por lo tanto, debe asegurarse de que los ID de sesión generados para sus sitios web de comercio electrónico sean lo suficientemente largos para resistir dichos ataques. GitHub recomienda una longitud de ID de sesión de 16 bytes con 64 bits de entropía. Puede utilizar un generador de números pseudoaleatorios (PRNG) para introducir entropía en los ID de sesión de su sitio web de comercio electrónico.
6. Transacciones seguras con cumplimiento de PCI DSS
El cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) incluye pautas para prevenir el fraude en los pagos y el robo de información financiera. Las pautas PCI DSS para el comercio electrónico identifican 12 criterios fundamentales que ayudan a asegurar las transacciones para el cumplimiento de pedidos de comercio electrónico . Cumplir con estos criterios ayudará a proteger la información transaccional durante el procesamiento del pedido.A continuación, se muestran algunas formas de ayudar a que su sitio web de comercio electrónico cumpla con estas pautas:
- Minimice el tiempo de almacenamiento y retención de datos de titulares de tarjetas (CHD).
- Definir protocolos para la retención y eliminación de enfermedades coronarias.
- Haga que todos los datos de autenticación confidenciales sean irrecuperables una vez completada la autorización.
- Utilice protocolos de seguridad y criptografía para toda la información del titular de la tarjeta durante la transmisión de datos.
- Limite el almacenamiento de claves criptográficas a las ubicaciones mínimas requeridas.
- Definir protocolos de identificación y autenticación para el acceso a CHD.
- Implemente pistas de auditoría automatizadas para todos los componentes del sistema con acceso a CHD.
7. Realizar pruebas periódicas
La ciberseguridad en el eCommerce es una práctica recurrente. A medida que el sitio web crece y evoluciona, es posible que encuentre nuevas vulnerabilidades. Debe realizar pruebas periódicas para evaluar la eficacia de las medidas de seguridad de su sitio web de comercio electrónico. También debe realizar estas pruebas para medir qué tan bien sus medidas de seguridad pueden resistir nuevas amenazas de ciberseguridad.Aquí hay una lista de pruebas de seguridad importantes para su sitio web de comercio electrónico:
- Busque actualizaciones de seguridad para todos los componentes de su sitio web.
- Pruebe extensiones de archivos que contengan datos confidenciales.
- Verifique los permisos de archivos para todos los datos confidenciales.
- Escanee copias de seguridad y archivos sin referencia en busca de información del usuario y CHD.
- Escanee robot.txt en busca de información confidencial.
- Realizar un reconocimiento de descubrimiento de motores de búsqueda para detectar fugas de información.
- Pruebe los puntos de entrada de la aplicación en busca de vulnerabilidades.
- Marcos de prueba para servidores y aplicaciones web de huellas dactilares.
- Escanee las URL en busca de información confidencial.
- Probar protocolos de cifrado y seguridad para la transmisión de información.
- Pruebe los protocolos de autenticación y autorización de usuarios para detectar vulnerabilidades.
- Busque SQL, XML, X-Path, XSL, SSI, API y otras formas de inyecciones.
Fuente: Roller, J. (2023, diciembre 11). The 7-point Checklist for Security and Privacy in Ecommerce. IEEE Computer Society. https://www.computer.org/publications/tech-news/trends/7-point-checklist-for-ecomm-security-and-privacy/
No hay comentarios.:
Publicar un comentario