La ciberdelincuencia se ceba con las pequeñas Pymes.

Alvaro San Román

La pérdida vinculada a hurtos, fraudes e ineficiencias supone el 0,8% de las ventas del comercio, lo que equivale a unos 1.800 millones de euros anuales, según los datos que se han dado a conocer en el 24º Congreso AECOC de Pérdida Desconocida, que se está celebrando este jueves en Madrid.

El director de Pérdida Desconocida de AECOC, Alejandro Sánchez, ha señalado que «España está entre los países europeos con una mayor tasa de pérdida por hurto y tenemos las herramientas para alcanzar los niveles de Alemania, que está en un nivel de pérdida del 0,6%, lo que supondría un ahorro de 700 millones de euros cada año», ha explicado.

Entre la tipología de hurtos y fraudes que más crecen están los vinculados con el ‘e-commerce’, que en los últimos meses ha vivido un crecimiento inesperado pero lógico porque él confinamiento animó a muchos ciudadanos ha hacer compras por internet y que ha ido acompañado por un incremento del delito de fraude informático que creció un 25% en 2020 y el ligado a tarjetas de crédito lo hizo en un 28%, en la actualidad, por cada tres hurtos físicos que se producen hay una estafa de tarjeta.

Las pequeñas empresas las más expuestas al fraude por internet

La pandemia y el confinamiento del año pasado obligo a miles de pequeñas empresas a dar el salto a la venta por la red como única vía de supervivencia, unido a muchas empresas que ya habían empezado, antes de la pandemia, el camino de venta online como una manera útil de poder hacer llegar sus productos a todo el mundo desde pequeños puntos rurales de nuestra geografía ha provocado que los ciberdelincuentes se encuentren con un campo abonado para el ciberdelito.

La venta online ha llegado para quedarse y las pequeñas empresas se enfrentan a un reto muy importante.

El principal la falta de recursos económicos para invertir en sistemas fiables que garanticen seguridad ante ataques contra la seguridad de las ventas, la firma de ciberseguridad ESET realizó una encuesta sobre el comercio electrónico durante la pandemia, donde halló que el 72% de los negocios que se vieron en la obligación de digitalizarse, “no estaban preparados para realizar dicha transición”.

Con este panorama parece obvio que el primer reto es el conocimiento profundo por parte de los responsables de las pequeñas pymes del funcionamiento de la venta online, cuáles son los sistemas de seguridad y que prácticas utilizan los ciberdelincuentes para poder contrarrestarlas.

Si eres nuevo y esta leyendo este artículo porque quieres conocer y prepárate, te hacemos un pequeño listado de las prácticas más comunes que emplean los ciberdelincuentes para amargarte y poner en riesgo tu negocio.

 

 

 

 

El phishing es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial, la más habitual son los correos electrónicos, que disfrazan de correos de confirmaciones de pedido / entrega, destinados a extraer datos confidenciales o llevar a las víctimas a un sitio web fraudulento.

El pagejackin. Si un día compruebas que tu págna web no funciona bien o no tiene tráfico, puede que hayas sido victima del pagejacking un método por el que el estafador hace una copia literal de tu sitio web desviando todo el tráfico a su propia página web. Los casos más avanzados implican el secuestro de tu sitio web para desviar el tráfico de los motores de búsqueda como Google al sitio fraudulento.

Cuidado con los grandes pedidos repentinos porque te pueden estar engañando al realiza un pedido grande en tu tienda online y que luego cancela el pago una vez enviado. Así que se queda con el pedido sin haber pagado nada.

Hay un fraude que está entre la picaresca y el delito, es el fraude por triangulación. El estafador crea un nuevo canal de venta de uno de tus productos reales con un aumento de precio significativo. Esto tampoco es tan fraudulento; sitios como eBay o Wallapop, entre otros permiten a los usuarios publicar y vender artículos sin verificación.

Un cliente «compra» el producto del estafador, dándole al estafador todos los datos personales.

El estafador con los datos del cliente (2) realiza la compra en tu sitio web, por menos dinero por supuesto. Tu tienda online enviará el pedido al cliente “estafado”.

El cliente recibe el pedido que compró, sin darse cuenta de que pagó de más y el estafador se queda con el margen de beneficio.

Señales de fraude

Hay que estar muy atentos a diferentes comportamientos de algunos clientes que resultan sospechosos, estos son los que ecommerceguide.com nos dice que hay que vigilar:

Datos de pedidos incoherentes

Una bandera roja básica y principal para el fraude son datos incoherentes dentro de un pedido. Esta información contradictoria podría ser que el código postal y la ciudad no coinciden, o que las direcciones IP y de correo electrónico no se alinean. Mientras que un cliente real sin duda puede hacer errores tipográficos, es mucho más probable que un ciber-criminal cometerá un error adivinando información incorrecta.

Clientes por primera vez

Por emocionante que sea conseguir un nuevo cliente, los estafadores suelen aparecer como clientes por primera vez. A menudo no regresan a victimizar a la misma empresa más de una vez, para evitar generar sospechas. Si bien ser un comprador por primera vez por sí solo no necesariamente debe atraer su atención, es posible que desee asegurarse de que sus características de seguridad monitoreen cuidadosamente a sus compradores por primera vez.

Clientes que realizan múltiples pedidos desde diferentes tarjetas de crédito

La mayoría de los consumidores no tienen más de tres tarjetas de crédito, por lo que debe sospechar de los compradores que usan más de tres tarjetas al comprar en su sitio, especialmente si intentan usar esas tarjetas una tras otra. Si un cliente pone en múltiples pedidos en muchas tarjetas de crédito diferentes, ya sea en una sola sesión o durante un largo período de tiempo, usted podría estar tratando con un ciber-criminal.

Las variaciones en este signo incluyen:

Múltiples transacciones bajo la misma dirección de facturación que van a diferentes direcciones de envío.

Múltiples transacciones bajo la misma dirección de facturación que van a diferentes direcciones de envío.

Múltiples tarjetas de crédito utilizadas en la misma dirección IP, incluso si no se facturan o se envían a la misma persona.

Múltiples transacciones en la misma tarjeta en un corto período de tiempo.

Pedidos inesperadamente grandes (especialmente aquellos que contienen duplicados de productos)

Se sabe que los estafadores dejan caer cantidades significativas de dinero cuando realizan compras fraudulentas, por lo general, mucho más de lo que gastaría cualquiera de sus clientes típicos. Un pedido grande puede ser emocionante al principio, pero sin duda querrá sin duda mirar en él. Si han pagado por el envío acelerado en ese pedido grande, eso es aún más de una bandera roja. Indica que el estafador está interesado en conseguir sus manos en los bienes antes de que sean atrapados.

Cualquier dato que sea claramente falso

Esto probablemente suena obvio, pero usted quiere tener cuidado con los datos que parecen inventados. No es tan difícil atrapar direcciones de correo electrónico falsas (¿no@yahoo.com ha sido alguna vez una dirección real?), y los números de teléfono falsos incluso se pueden encontrar solo a simple vista. Por ejemplo, cualquier número con el código de área «555» es falso.

Múltiples transacciones rechazadas al mismo cliente

Una vez más, mientras que las personas hacen errores tipográficos durante una transacción, una persona que intenta usar la misma tarjeta mientras introduce los números mal varias veces puede indicar a alguien que está tratando de adivinar algunos de los números.

 

Que medidas de seguridad debe implementar una pyme

Para saber las medidas de seguridad más importantes que debe adoptar una pyme, hemo recurrido al decálogo de Félix Barbeira, responsable de Seguridad y Operaciones en dinahosting

  1. Usa elprotocolo httpspara encriptar los intercambios de información (contraseñas, números de cuenta, tarjetas de crédito, etc.) entre tus clientes y tu web . Este protocolo deriva del uso de un certificado SSL/TLS, por eso es importante que te hagas con uno cuanto antes si todavía no lo tienes.
  2. El WAF, el antimalware y el firewall de red son los que te mantienen a salvo de los malos:virus, spam, phishing u otros ataques. Asegúrate de que tu proveedora de hosting te proporcione este tipo de protecciones.
  3. Ante la inmensa cantidad de informaciónque almacena un ecommerce diariamente, es indispensable contar con un buen servicio de backup o copia de seguridad. De producirse cualquier incidente, podrás restaurar tu web, correo o base de datos a un estado anterior, por eso es importante que el backup se haga a diario y de forma automática. Necesitarás una cuando menos te lo esperes.
  4. Implementa la autentificación en dos pasoso de doble factor (2 factor auth) para agregar una capa adicional de seguridad cuando introduzcas las credenciales de acceso a tu tienda. Además del combo usuario y contraseña, tendrás que meter también un número de 6 dígitos generado automáticamente cada 30 segundos en la APP móvil que hayas elegido (Authy, por ejemplo). Tanto en el panel de control como en el webmail de dinahosting tienes la opción de activar el segundo factor de autenticación.
  5. Fíjate en la posibilidad de elegir la versión de las plataformas de software de tu hosting, con el fin de obtener las últimas mejoras de seguridad y rendimiento y de mantener una retrocompatibilidad con el código antiguo.
  6. Si usas WooCommerce, PrestaShop, Magento… es necesario que vayas actualizando las aplicaciones a las últimas versiones (core, tema, plugins o módulos…). Sus equipos de desarrollo corrigen permanentemente errores, bugs o fallos de compatibilidad. También es recomendable medir bien la capacidad de respuesta de cada plugin y el uso que le vas a dar, antes de instalarlos de manera indiscriminada. La mayor parte de las brechas de seguridad se producen durante el uso de plugins de terceros que añadimos a nuestra aplicación.
  7. Haz auditorías de seguridad.En dinahosting analizamos si tu hosting está al día, qué versiones de tus componentes necesitan actualización, si eres vulnerable a ataques, etc. y te facilitamos un informe con todos los puntos a mejorar en tu seguridad. Además, con el ‘Servicio de Desinfección’ eliminamos cualquier malware localizado y las posibles secuelas derivadas de la infección en tu web.
  8. Confía en un proveedor de alojamientoque esté ahí cuando necesites ayuda. Pide referencias sobre el servicio postventa y de soporte técnico que te pueda brindar, teniendo en cuenta factores como la disponibilidad horaria, los métodos de contacto que proporciona o el idioma de atención.
  9. La mejor forma de evitar la pérdida de datos sensibles es no almacenarlos.Evita guardar información susceptible de robo, como pueden ser los datos de las tarjetas de crédito y, en caso de no ser posible, asegúrate de tenerlo todo cifrado. Lo ideal es solicitarle al usuario únicamente los datos que sean estrictamente necesarios para poder cerrar la compra y no almacenarlos.
  10. Podemos tomar todas las precaucionespara protegernos de cualquier tipo de ataque informático, que no servirán de nada si un miembro del equipo hace un mal uso de la tecnología. Los empleados son el primer eslabón de la cadena, por lo que tenemos que incorporar las buenas prácticas en su rutina diaria a través de una buena formación en ciberseguridad: uso de contraseñas seguras, técnicas para detectar el email phishing, etc.

En otro reportaje hablaremos de los problemas de ciberdelincuencia que sufren las grandes empresas.

 

Las + leídas