Medidas de seguridad para empresas japonesas de comercio electrónico

Radar
Radar

Descubre cómo combatir el fraude con la eficacia de la red de Stripe.

Más información 
  1. Introducción
  2. ¿Por qué son necesarias medidas de seguridad en el comercio electrónico?
    1. Medidas para evitar daños por fraude con tarjetas de crédito
    2. Protección de los datos personales de los clientes
    3. El riesgo continuo de ciberataques
  3. Incidentes de seguridad comunes que afectan a las empresas comercio electrónico
    1. Interrupciones en el sistema
    2. Alteración de sitios web
    3. Acceso no autorizado
    4. Ransomware
  4. Pautas de seguridad para sitios de comercio electrónico
  5. Medidas de seguridad básicas para sitios de comercio electrónico
    1. Integrar Three-Domain Secure (3D Secure) 2.0 para la verificación de identidad
    2. Cumplir con la normativa de seguridad de datos de la Industria de tarjetas de pago (PCI DSS)
    3. Implementar la detección de fraudes con tarjeta de crédito
  6. Cómo responder a una amenaza de seguridad en comercio electrónico
    1. Infección por virus o ransomware
    2. Filtraciones de datos
    3. Caída del sistema
  7. ¿Cómo pueden mejorar la seguridad las empresas de comercio electrónico en Japón?
  8. Cómo puede ayudarte Stripe Radar

Con la creciente popularidad de las compras en línea y los pagos digitales, los sitios de comercio electrónico se han convertido en una parte indispensable de la vida cotidiana en Japón. Sin embargo, los riesgos de seguridad, como fraude con tarjetas de crédito, filtraciones de datos personales y ciberataques, aumentan año tras año. Muchas empresas de comercio electrónico tienen dificultades para averiguar cómo manejar estos problemas debido a recursos limitados.

En este artículo, explicamos las medidas básicas de seguridad para empresas de comercio electrónico en Japón y algunos métodos de respuesta ante pagos fraudulentos y filtraciones de información.

¿Qué contiene este artículo?

  • ¿Por qué son necesarias medidas de seguridad en el comercio electrónico?
  • Incidentes de seguridad comunes que afectan a las empresas comercio electrónico
  • Pautas de seguridad para sitios de comercio electrónico
  • Medidas de seguridad básicas para sitios de comercio electrónico
  • Cómo responder a una amenaza de seguridad en comercio electrónico
  • ¿Cómo pueden mejorar la seguridad las empresas de comercio electrónico en Japón?
  • Cómo puede ayudar Stripe Radar

¿Por qué son necesarias medidas de seguridad en el comercio electrónico?

A medida que se expande el mercado del comercio electrónico, los métodos de fraude y ciberataques se vuelven más sofisticados. Los daños causados por los ataques con información de tarjetas de crédito se vuelven más graves cada año. Por lo tanto, es necesario reforzar las medidas de seguridad.

Medidas para evitar daños por fraude con tarjetas de crédito

Según la Japan Network Security Association (JCA), en 2024 las pérdidas por fraude con tarjetas de crédito alcanzaron un máximo histórico de ¥‎55,500 millones, cifra que aumentó más del doble en solo cinco años, lo que demuestra que el fraude aumenta en proporción al crecimiento del mercado del comercio electrónico.

La mayoría de esas pérdidas (es decir, más del 90 %) se debieron al robo de números de tarjetas de crédito en sitios de comercio electrónico. Este robo se lleva a cabo a través de correos electrónicos de phishing, sitios de compras falsos y pirateo de sistemas operativos de comercio electrónico. Sin contramedidas básicas, es poco probable que se reduzcan estas pérdidas. Las Pautas de seguridad para tarjetas de crédito también requieren que las empresas de comercio electrónico apliquen medidas específicas.

Protección de los datos personales de los clientes

Los sitios de comercio electrónico manejan mucha información de tarjetas de crédito. Además, manejan datos personales, como nombres, direcciones, números de teléfono y direcciones de correo electrónico. Cuando se filtran datos personales, el daño no se limita a una sola persona. Por lo general, se filtra una gran cantidad de datos de clientes, lo que resulta en un daño financiero importante y un golpe a la reputación de la empresa.

Los titulares de tarjetas que se convierten en víctimas de fraude debido al robo de números podrían recibir cargos inesperados y también podrían sentirse ansiosos e insatisfechos por la filtración de información. Esto podría hacer que pierdan la confianza en el sitio de comercio electrónico. Para restablecer la confianza, la empresa debe dedicar tiempo y recursos al soporte al cliente y a las investigaciones. Sin embargo, las filtraciones de datos pueden perjudicar la credibilidad y la rentabilidad de la empresa en su conjunto.

El riesgo continuo de ciberataques

Los sitios de comercio electrónico son objetivos atractivos de los ciberataques, ya que se puede acceder a ellos en cualquier momento e incluyen una gran cantidad de datos sobre transacciones. En un informe del Ministerio de economía, comercio e industria (METI) se destaca que los accesos no autorizados, el phishing y los hackeos de sistemas de pago están aumentando. En los últimos años, los métodos de ataque se han vuelto cada vez más sofisticados. En los últimos años, los métodos de ataque se han vuelto cada vez más sofisticados y se han ampliado para incluir métodos automatizados de fraude conocidos como «ataques maestros de crédito» y estafas de phishing mediante inteligencia artificial (IA).

Incidentes de seguridad comunes que afectan a las empresas comercio electrónico

Muchos tipos diferentes de incidentes de seguridad pueden ocurrir en sitios de comercio electrónico. Estos son algunos ejemplos comunes y sus riesgos:

Interrupciones en el sistema

Esto sucede cuando el sitio de comercio electrónico se cierra y deja de estar disponible debido a un fallo en el servidor o en el sistema. Cuando un sitio deja de funcionar, puede perder ventas y la confianza de los clientes. Además, los esfuerzos de recuperación pueden dar lugar a costos laborales y financieros.

La Information-technology Promotion Agency (IPA) proporciona pautas de seguridad para crear y poner en funcionamiento sitios de comercio electrónico que recomiendan prepararse para estas situaciones mediante copias de seguridad periódicas de los datos, la introducción de redundancias, el control del acceso y la utilización de registros.

Según una encuesta realizada por la IPA y la Comisión de protección de datos personales (PPC), la pérdida promedio de ventas debida al cierre de un sitio de comercio electrónico se estima en ¥57 millones. El costo promedio de responder a este tipo de incidentes se estima en ¥240 millones.

Alteración de sitios web

Si virus o malware se infiltran en terminales o servidores de administradores, pueden causar daños a los sistemas o datos. Una empresa de comercio electrónico debe instalar software antivirus, actualizar regularmente los sistemas operativos y el software, y establecer un sistema de detección de piratería informática.

Según la Agencia Nacional de Policía, ha habido múltiples denuncias de un delito denominado «web skimming», que consiste en insertar programas ilegales en sitios legítimos de comercio electrónico para adquirir información sobre las tarjetas de los clientes.

Acceso no autorizado

Esto ocurre cuando un tercero obtiene acceso no autorizado a pantallas administrativas o bases de datos para ver, alterar o eliminar datos. Las pautas de seguridad mencionadas anteriormente incluyen contramedidas clave, como la autenticación multifactor, la evaluación de vulnerabilidades, el control de acceso y la detección de anomalías en el inicio de sesión.

Los sitios de comercio electrónico creados con software de código abierto (OSS) podrían correr un riesgo particular. Según el IAP, el 97 % de los sitios de comercio electrónico afectados se crearon internamente, y muchos de ellos utilizan sistemas OSS. Si bien los sistemas OSS son convenientes, también es más fácil descubrir sus vulnerabilidades. Por ejemplo, si los parches no se aplican con prontitud o correctamente, un sistema OSS puede convertirse fácilmente en un objetivo de acceso no autorizado.

Ransomware

Este ciberataque consiste en que actores fraudulentos cifran sistemas o datos y exigen dinero a cambio de su restitución. Las empresas pueden reducir el riesgo de este ataque mediante copias de seguridad periódicas, almacenamiento separado, restricciones de privilegios de administrador y capacitación en recuperación.

Según un informe de la Japan Network Security Association (JNSA), los ataques de ransomware han causado pérdidas financieras de entre 10 y varios cientos de millones de yenes. Esto incluye a las pequeñas y medianas empresas, y en algunos casos reportan pérdidas superiores a los ¥100 millones.

Pautas de seguridad para sitios de comercio electrónico

Las Pautas de seguridad para crear y poner en funcionamiento sitios de comercio electrónico publicadas por la IPA proporcionan pautas de seguridad específicas para crear y poner en funcionamiento sitios de comercio electrónico seguros, destinadas principalmente a pequeñas y medianas empresas y proveedores independientes.

Las pautas principales son las siguientes:

  • Prevenir incidentes de seguridad.
  • Corregir las vulnerabilidades de diseño y operaciones.
  • Brindar soporte para el personal no especializado.
  • Establecer responsabilidades entre las partes pertinentes, tanto para los sistemas internos como para los tercerizados.

Las pautas de seguridad son más que un manual técnico. Más bien, unifican el trabajo práctico con la toma de decisiones haciendo hincapié en la importancia de las medidas de seguridad como decisiones de gestión. Además, las pautas ofrecen ejemplos de causas, efectos y riesgos de incidentes de seguridad que han ocurrido o podrían ocurrir.

Causa

Efecto y riesgo

Vulnerabilidades del sistema de gestión de contenidos (CMS) que conducen a la manipulación del sitio web

Los datos personales, incluidos los datos de tarjetas de crédito, podrían filtrarse

Filtración de ID y contraseñas de la pantalla de administración

Los terceros podrían ver o eliminar datos confidenciales de los clientes

Delegación en contratistas de la evaluación de la configuración y las vulnerabilidades del sistema sin formación del personal interno

Cuando ocurre un incidente, es posible que la causa no se identifique fácilmente, lo que prolonga el incidente y su impacto

Puesta a disposición del público del entorno de desarrollo y las páginas de prueba

Los posibles estafadores pueden ver las vulnerabilidades, lo que hace que el sistema sea susceptible de sufrir intrusiones

Descuido de las actualizaciones y la configuración de Secure Sockets Layer (SSL)

Aumento de los riesgos de «ataques de intermediarios» e interceptación de las comunicaciones

En todos los casos de incidentes de seguridad, la causa principal es la falta de claridad con respecto a quién es responsable y qué es lo que hay que proteger. Las pautas dividen las medidas de seguridad en tres categorías en función de las partes implicadas en la prevención de incidentes. También aclaran y explican las funciones de cada parte.

Los operadores de sitios de comercio electrónico son responsables de lo siguiente:

  • Decidir sobre la creación del sitio y las políticas de construcción y operaciones
  • Aclarar la tercerización y la selección de proveedores, los contratos y la gestión
  • Establecer una política de protección de la información de los clientes

Los proveedores de desarrollo y construcción son responsables de lo siguiente:

  • Diseñar e implementar sistemas exentos a las vulnerabilidades
  • Realizar verificaciones y pruebas
  • Actualizar y gestionar el software

Los proveedores de operación y mantenimiento son responsables de lo siguiente:

  • Brindar soporte periódico sobre vulnerabilidades a servidores y software
  • Establecer sistemas de gestión y monitoreo de registros
  • Establecer un sistema de respuesta en caso de accidente

Medidas de seguridad básicas para sitios de comercio electrónico

Para muchas empresas, puede parecer complicado actualizar y reforzar las medidas de seguridad. Sin embargo, es importante comenzar con pasos sencillos que se pueden llevar a cabo de inmediato, como reforzar las contraseñas y revisar la configuración para compartir. Luego, las empresas pueden construir gradualmente sólidos sistemas de seguridad. Las siguientes son algunas medidas específicas que las empresas de comercio electrónico deben tener en cuenta:

Integrar Three-Domain Secure (3D Secure) 2.0 para la verificación de identidad

3D Secure 2.0 es un sistema que mejora la autenticación de identidad para pagos con tarjeta de crédito. Los códigos de acceso únicos y la autenticación biométrica pueden evitar pagos no autorizados que utilicen tácticas de suplantación de identidad.

Este sistema también ofrece una experiencia del cliente mejorada en comparación con los métodos de contraseña convencionales, al tiempo que equilibra la seguridad y la practicidad. Por eso, es cada vez más popular entre las empresas de tarjetas de crédito y los proveedores de servicios de pago. Los sitios de comercio electrónico que aún no han integrado 3D Secure corren el riesgo de sufrir devoluciones de cargos y rechazos de transacciones. Por lo tanto, las empresas de comercio electrónico deben considerar adoptarlo desde el principio.

Cumplir con la normativa de seguridad de datos de la Industria de tarjetas de pago (PCI DSS)

La PCI DSS es una normativa internacional de seguridad para las empresas que manejan información de tarjetas de crédito. Esta normativa proporciona especificaciones detalladas, como cifrado, control de acceso y gestión de registros de la información. Se exige el cumplimiento estricto de la normativa cuando la información de las tarjetas se maneja internamente.

Sin embargo, la gestión interna de todos estos requisitos puede suponer una carga considerable, por lo que muchas empresas recurren a agentes de pago que cumplen la normativa PCI DSS para reducir esta carga sin dejar de cumplir los requisitos.

Implementar la detección de fraudes con tarjeta de crédito

Las transacciones fraudulentas no siempre son obvias al principio. A menudo, las empresas las descubren después de que se han completado las compras. Por lo tanto, es importante tener un sistema que detecte y responda a las señales de transacciones fraudulentas en tiempo real, especialmente antes de que se realicen o acrediten las transacciones. Estas son algunas de las cualidades que deben señalar las transacciones como sospechosas:

  • Acceso desde áreas con un historial de fraude
  • Entradas consecutivas de tarjetas desde la misma dirección de Protocolo de Internet (IP)
  • Información del cliente y nombre del titular de la tarjeta no coincidentes
  • Múltiples compras de alto valor en un breve período de tiempo

El uso de un sistema que bloquea o retiene automáticamente las transacciones para revisarlas cuando se clasifican como riesgosas puede evitar daños antes de que ocurran.

Cómo responder a una amenaza de seguridad en comercio electrónico

La implementación de medidas de seguridad puede ayudar a reducir la ocurrencia de incidentes de seguridad. Sin embargo, el aumento en el número de casos de fraude significa que es probable que la mayoría de las empresas experimenten una deficiencia en materia de seguridad de algún tipo. Esto puede ocurrir incluso si la empresa implementa contramedidas. A continuación se detallan algunas formas de respuesta ante incidentes de seguridad específicos:

Infección por virus o ransomware

Deja de usar la computadora o el servidor infectado y desconéctalo de la red. A continuación, informa el incidente a los socios de la empresa y a los clientes afectados, así como a los organismos gubernamentales pertinentes. Por ejemplo, en Japón, las infecciones por virus y ransomware deben informarse a la IPA. Luego, continúa con tu trabajo de investigación y restauración. La realización de copias de seguridad de los datos con regularidad puede minimizar los daños de este tipo de incidentes.

Filtraciones de datos

Las filtraciones de datos incluyen el acceso no autorizado a las redes, actividades ilegales cometidas por empleados (es decir, mala conducta interna), correos electrónicos mal dirigidos y publicación accidental en la web. Si esto sucede, confirma el tipo y la cantidad de datos que se filtraron, así como el estado de las medidas de seguridad, como cifrado y restricciones de acceso.

En caso de acceso no autorizado, desconecta inmediatamente el dispositivo de la red y suspende los servicios. Esto es importante porque existe el riesgo de que se filtren datos personales o información confidencial. Si se filtra información de la tarjeta de crédito o cuenta, comunícate con la empresa de la tarjeta y haz que suspendan la(s) cuenta(s).

En el caso de faltas internas, restringe el acceso a los sistemas internos y preserva las evidencias, como computadoras personales. Si se han enviado correos electrónicos a destinatarios equivocados, comunícate con ellos y solicítales que eliminen los correos electrónicos. Si la información se ha publicado por error en el sitio web de la empresa, elimínala inmediatamente o restringe el acceso para que no pueda verse desde fuera de la organización.

Después de tomar estas medidas, asegúrate de informar y notificar a las partes pertinentes según sea necesario:

  • Si la información filtrada, como la información de la cuenta, podría ser mal utilizada, alerta a las personas y empresas afectadas para evitar daños secundarios.
  • Si se filtran datos personales, informa de ello a la PPC.
  • Si la causa de la filtración de información es de naturaleza criminal, como acceso no autorizado o mala conducta interna, informa los detalles a la policía.
  • Si la causa de la filtración de información es un virus informático o el acceso no autorizado, informa el incidente a la oficina de informes de la IPA.

A continuación, investiga el alcance, la causa y el daño de la información filtrada. Luego, continúa con los esfuerzos de recuperación para evitar que vuelva a ocurrir.

Caída del sistema

Si se produce una caída del sistema, puede ser difícil identificar de inmediato la causa. Las posibles causas incluyen fallos generales de los equipos y fallos de seguridad, como ciberataques y errores de software. Si se desconoce la causa, la empresa debe reaccionar como si se tratara de un problema de seguridad.

Si se producen fallos, averías o caídas del sistema, o hay indicios inminentes de que puedan producirse, ponte en contacto con el administrador del sistema o con el responsable de seguridad de la información. Dependiendo de la situación, el responsable podría desconectar o apagar los servidores según sea necesario.

A continuación, ponte en contacto con los socios de la empresa e informa del incidente a los organismos gubernamentales pertinentes. Si se trata de un virus o de un acceso no autorizado, informa de ello a la oficina de notificación de la IPA. Investiga la causa del incidente y procede a su restauración y a la prevención de su repetición.

¿Cómo pueden mejorar la seguridad las empresas de comercio electrónico en Japón?

Las medidas de seguridad del comercio electrónico son importantes para proteger las operaciones diarias. Independientemente del tamaño de la empresa, el fraude con tarjetas y las filtraciones de datos son siempre un riesgo que las empresas deben esforzarse por contrarrestar.

En los últimos años, se ha vuelto más fácil adoptar e integrar una variedad de medidas, como 3D Secure, para fortalecer la verificación de identidad (es decir, los procedimientos de conocimiento del cliente [KYC]). Las empresas también pueden seguir los estándares del sector, como PCI DSS, e introducir servicios de detección de fraude. Es importante estar alerta y tomar medidas proactivas de forma anticipada. Que una empresa no haya enfrentado problemas de seguridad no significa que deba volverse complaciente. Los titulares de empresas deben mejorar las medidas de seguridad de sus sitios de comercio electrónico para garantizar la fiabilidad, la confianza y la continuidad de sus negocios de comercio electrónico.

Cómo puede ayudarte Stripe Radar

Stripe Radar utiliza modelos de IA para detectar y prevenir fraudes. Estos modelos, entrenados con datos de la red global de Stripe, se actualizan continuamente en función de las últimas tendencias de fraude, lo cual mantiene a tu empresa protegida a medida que evoluciona.

Stripe también ofrece Radar para Equipos de Fraude, que permite a los usuarios agregar reglas personalizadas que abordan escenarios de fraude específicos de sus empresas y acceder a información avanzada sobre fraude.

Radar puede ayudar a tu empresa a lograr lo siguiente:

  • Previene pérdidas por fraude: Stripe procesa más de 1 billón de dólares en pagos al año. Este crecimiento permite a Radar detectar y prevenir el fraude con precisión y te ahorra dinero.
  • Aumenta los ingresos: los modelos de IA de Radar se entrenan con datos reales de disputas, información de clientes, datos de navegación y más. Esto permite a Radar identificar transacciones de riesgo y reducir falsos positivos, lo que aumenta tus ingresos.
  • Ahorra tiempo: Radar está integrado en Stripe y no necesita líneas de código para su configuración. También puedes controlar el rendimiento de tu fraude, escribir reglas y mucho más en una sola plataforma, lo que aumenta la eficiencia.

Obtén más información sobre Stripe Radar o empieza a utilizarlo hoy mismo.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Radar

Radar

Combate el fraude con la solidez de la red de Stripe.

Documentación de Radar

Utiliza Stripe Radar para proteger tu empresa contra fraude.