A medida que aumentan las compras por Internet y los pagos digitales, los sitios de e-commerce se han convertido en una parte indispensable de la vida cotidiana en Japón. Sin embargo, los riesgos de seguridad, como el fraude con tarjetas de crédito, ñas filtraciones de datos personales y los ciberataques, aumentan año tras año. Muchas empresas de e-commerce tienen dificultades para manejar estos problemas debido a sus recursos limitados.
En este artículo, explicamos las medidas de seguridad básicas para las empresas de e-commerce en Japón y algunos métodos para responder a pagos fraudulentos y filtración de información.
¿De qué trata este artículo?
- ¿Por qué son necesarias las medidas de seguridad en e-commerce?
- Incidentes de seguridad comunes que afectan a las empresas de e-commerce.
- Directrices de seguridad para sitios de e-commerce.
- Medidas de seguridad básicas para sitios de e-commerce
- Cómo responder a una amenaza de seguridad en e-commerce.
- ¿Cómo pueden mejorar la seguridad las empresas de e-commerce en Japón?
- Cómo puede ayudar Stripe Radar.
¿Por qué son necesarias las medidas de seguridad en e-commerce?
Con la expansión del e-commerce, los fraudes y ciberataques son cada vez más sofisticados. Los daños causados por los ataques con información de tarjetas de crédito son más graves cada año. Por lo tanto, es necesario reforzar las medidas de seguridad.
Medidas para prevenir los daños por fraude con tarjeta de crédito
Según la Asociación Japonesa de Crédito al Consumo (JCA, por sus siglas en inglés), las pérdidas por fraude con tarjetas de crédito en 2024 alcanzaron un máximo histórico de 55.500 millones de yenes, una cifra que ha aumentado más del doble en solo cinco años, lo que demuestra que el fraude se está agravando a medida que el mercado de e-commerce crece.
La mayoría de estas pérdidas (es decir, más del 90 %) se debe al robo de números de tarjetas de crédito en sitios de e-commerce y se realiza mediante correos electrónicos de phishing, sitios de compras falsos y piratería informática de sistemas operativos de e-commerce. Sin unas contramedidas básicas, es poco probable que se reduzcan estas pérdidas. Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago también exigen que las empresas de e-commerce apliquen medidas específicas.
Proteger los datos personales de los clientes
Los sitios de e-commerce manejan mucha información procedente de tarjetas de crédito. Además, gestionan datos personales, como nombres, direcciones, números de teléfono y direcciones de correo electrónico. Cuando se filtran datos personales, el daño no afecta a una sola persona. Por lo general, se filtra una gran cantidad de datos de clientes, lo que provoca un daño financiero importante y afecta negativamente a la reputación de la empresa.
Los titulares de tarjetas que se convierten en víctimas de fraude debido al robo de números podrían recibir cargos inesperados y podrían sentirse preocupados e insatisfechos por la filtración de información. Esto puede hacer que pierdan confianza en el sitio de e-commerce. Para recuperar esta confianza, la empresa debe dedicar tiempo y recursos al soporte e investigaciones del cliente. Sin embargo, las filtraciones de datos pueden dañar la credibilidad y rentabilidad de la empresa en su totalidad.
Riesgo continuo de ciberataques
Los sitios de e-commerce son objetivos atractivos para los ciberataques, ya que se puede acceder a ellos en cualquier momento e incluyen una gran cantidad de datos sobre transacciones. En un informe del Ministerio de Economía, Comercio e Industria se especifica que los sistemas de acceso no autorizado, phishing y pagos hackeados están aumentando. En los últimos años, las tácticas de ataque son cada vez más sofisticadas y se han ampliado para incluir métodos automatizados de fraude conocidos como «ataques maestros de crédito» y estafas de phishing mediante inteligencia artificial.
Incidentes de seguridad comunes que afectan a las empresas de e-commerce
En los sitios de e-commerce pueden producirse muchos tipos diferentes de incidentes de seguridad. Estos son algunos ejemplos habituales y sus respectivos riesgos:
Desconexión del sistema
Esto sucede cuando el sitio de e-commerce cierra y deja de estar disponible debido a un fallo del servidor o del sistema. Cuando un sitio se cierra, puede perder ventas y la confianza de los clientes. Además, el trabajo de recuperación puede ocasionar costes laborales y financieros.
El IPA ofrece directrices de seguridad para la creación y el funcionamiento de sitios de e-commerce que recomiendan prepararse para estas situaciones haciendo copias de seguridad periódicas de los datos, introduciendo duplicaciones, implementando el control de acceso y hacer uso de registros.
Según una encuesta realizada por el OPI y la Comisión de Protección de la Información Personal (PPC, por sus siglas en inglés), se estima que la pérdida media de ventas debido al cierre de un sitio de e-commerce es de 57 millones de yenes. El coste medio de hacer frente a este tipo de incidentes es de 240 millones de yenes.
Alteración del sitio web
Si los virus o malware se infiltran en los terminales o servidores del administrador, pueden causar daños en los sistemas o datos. Una empresa de e-commerce debe instalar un antivirus, actualizar periódicamente los sistemas operativos y el software y establecer un sistema de detección de piratería informática.
Según la Agencia Nacional de Policía de Japón (NPA, por sus siglas en inglés), se han recibido múltiples denuncias por un delito denominado «web skimming», que consiste en insertar programas ilegales en sitios legales de e-commerce para obtener información de las tarjetas de los clientes.
Acceso no autorizado
Esto ocurre cuando un tercero obtiene acceso no autorizado a pantallas administrativas o a bases de datos para ver, alterar o eliminar datos. Las directrices de seguridad mencionadas anteriormente incluyen importantes contramedidas, como la autenticación multifactor, la evaluación de puntos débiles, el control de acceso y la detección de anomalías de inicio de sesión.
Los sitios de e-commerce creados con software de código abierto (OSS, por sus siglas en inglés) podrían correr especial riesgo. Según el IPA, el 97 % de los sitios de e-commerce afectados se crearon de manera interna y muchos usaron sistemas OSS. Si bien los sistemas OSS son prácticos, también es más fácil descubrir sus puntos débiles. Por ejemplo, si los parches no se aplican con rapidez o correctamente, un sistema OSS puede convertirse fácilmente en un objetivo de acceso no autorizado.
Ransomware
Este ciberataque consiste en que los estafadores cifran los sistemas o datos y exigen dinero a cambio de recuperarlos. Las empresas pueden reducir el riesgo de este tipo de ataque mediante copias de seguridad periódicas, almacenamiento por separado, restricciones de privilegios de administrador y formación en recuperación.
Según un informe de la Asociación Japonesa de Seguridad de Redes (JNSA, por sus siglas en inglés), los ataques de ransomware han causado pérdidas financieras de entre diez y varios cientos de millones de yenes. Esto incluye a las pequeñas y medianas empresas y, en algunos casos, informan de pérdidas superiores a 100 millones de yenes.
Directrices de seguridad para sitios de e-commerce
Las directrices de seguridad para crear y operar sitios de e-commerce publicadas por el Organismo de Promoción de la Tecnología de la Información (IPA, por sus siglas en inglés) proporcionan unas pautas de seguridad específicas para crear y hacer funcionar sitios de e-commerce de forma segura. Están dirigidas principalmente a pequeñas y medianas empresas y a proveedores independientes.
Las principales directrices son:
- Evitar incidentes de seguridad.
- Corregir los puntos débiles de diseño y funcionamiento.
- Ofrecer soporte para el personal no especializado.
- Definir las responsabilidades entre las partes relevantes, tanto para los sistemas internos como para los sistemas externalizados.
Las directrices de seguridad son más que un manual técnico, más bien, aúnan el trabajo práctico con la toma de decisiones, ya que dan importancia a las medidas de seguridad, tales como las decisiones de gestión. Además, las directrices muestran ejemplos de causas, efectos y riesgos de incidentes de seguridad que se han producido o que podrían producirse.
|
Causa |
Efecto y riesgo |
|---|---|
|
Puntos débiles en el sistema de gestión de contenidos (CMS, por sus siglas en inglés) que provocan la manipulación del sitio |
Los datos personales, incluidos los de la tarjeta de crédito, pueden filtrarse. |
|
Filtración de ID y contraseñas de la pantalla de administración. |
Terceras partes podrían ver o eliminar los datos confidenciales del cliente. |
|
Encargar la evaluación de la configuración y de los puntos débiles del sistema a contratistas, sin formar al personal interno. |
Cuando ocurre un incidente, es posible que la causa no pueda identificarse fácilmente, lo que alarga el incidente y sus efectos. |
|
Poner a disposición del público el entorno de desarrollo y las páginas de prueba. |
Los posibles estafadores pueden ver los puntos débiles, por lo que el sistema puede ser asaltado. |
|
Olvidar las actualizaciones y la configuración de la Capa de Sockets Seguros (SSL, por sus siglas en inglés). |
Aumentan los riesgos de «ataques de intermediario» y de interceptación de comunicaciones. |
La causa principal de los incidentes de seguridad se debe a la falta de claridad con respecto a quién es el responsable y qué es lo que necesita protección. Las directrices dividen las medidas de seguridad en tres categorías en función de las partes involucradas en la prevención de incidentes. También aclaran y explican las funciones de cada parte.
Los operadores de sitios e-commerce deben hacer lo siguiente:
- Decidir las políticas de creación y construcción del sitio y su funcionamiento.
- Dejar claras las subcontrataciones y selección de proveedores, los contratos y la gestión.
- Determinar una política de protección de datos del cliente.
Los proveedores de desarrollo y construcción deben hacer lo siguiente:
- Diseñar e implementar sistemas sin puntos débiles.
- Realizar operaciones de verificación y pruebas.
- Actualizar y gestionar el software.
Los proveedores de operaciones y mantenimiento deben hacer o siguiente:
- Realizar un soporte periódico de los puntos débiles de servidores y software.
- Establecer sistemas de gestión y supervisión de los registros.
- Crear un sistema de respuesta en caso de accidente.
Medidas de seguridad básicas para sitios de e-commerce
Para muchas empresas puede parecer complicado actualizar y reforzar las medidas de seguridad. Sin embargo, es importante comenzar con pasos sencillos que se pueden hacer de inmediato, como reforzar las contraseñas y revisar la configuración de uso compartido. Posteriormente, las empresas pueden crear sistemas de seguridad sólidos progresivamente. Estas son algunas medidas específicas que las empresas de e-commerce deben tener en cuenta:
Integrar Three-Domain Secure (3D Secure) 2.0 para la verificar la identidad
3D Secure 2.0 es un sistema que mejora la autenticación de identidad para pagos con tarjeta de crédito. Los códigos de acceso únicos y la autenticación biométrica pueden evitar pagos no autorizados que utilicen tácticas de suplantación de identidad.
Este sistema también ofrece una experiencia del cliente mejorada en comparación con los métodos convencionales de contraseña, al tiempo que equilibra la seguridad y la comodidad. Esto hace que cada vez sea más popular entre las empresas de tarjetas de crédito y proveedores de servicios de pago. Los sitios de e-commerce que aún no han integrado 3D Secure corren el riesgo de contracargos y rechazos de transacciones. Por lo tanto, es recomendable que las empresas de e-commerce lo adopten desde el principio.
Cumplimiento del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
El PCI DSS es un estándar internacional de seguridad para las empresas que manejan datos de tarjetas de crédito. Este estándar proporciona especificaciones detalladas, como cifrado, control de acceso y gestión de registros de la información. Para gestionar la información de tarjetas de manera interna es obligatorio un estricto cumplimiento de la normativa.
Sin embargo, gestionar internamente todos estos requisitos puede suponer mucho trabajo. por lo que muchas empresas utilizan agentes de pago que cumplen con la normativa PCI DSS para reducir esta carga sin dejar de cumplir los requisitos.
Implementar la detección de fraude con tarjetas de crédito
Al principio, las transacciones fraudulentas no siempre son tan evidentes. A menudo, las empresas las descubren después de que se han completado las compras. Por lo tanto, es importante tener un sistema que detecte y responda a las señales de transacciones fraudulentas en tiempo real, especialmente antes de que se realicen o liquiden. Estas son algunas de las características de transacciones sospechosas:
- Acceso desde áreas con un historial de fraude.
- Entradas consecutivas de tarjetas desde la misma dirección del Protocolo de Internet (IP).
- La información del cliente y el nombre del titular de la tarjeta no coinciden.
- Varias compras de gran valor en poco tiempo.
Usar un sistema que bloquea o retiene automáticamente las transacciones para revisarlas cuando se clasifican como transacciones de riesgo puede evitar los daños antes de que ocurran.
Cómo responder a una amenaza de seguridad en e-commerce
Aplicar medidas de seguridad puede ayudar a reducir los incidentes de seguridad. Sin embargo, el aumento en el número de casos de fraude significa que es probable que la mayoría de las empresas sufra algún tipo de brecha de seguridad. Esto puede ocurrir incluso si la empresa aplica contramedidas. A continuación, mostramos algunas formas de responder a incidentes de seguridad específicos:
Virus o ransomware
Deja de usar el ordenador o servidor infectado y desconectar de la red. Después, informa del incidente a los socios comerciales y a los clientes afectados, así como a cualquier organismo gubernamental pertinente. Por ejemplo, en Japón, los virus y ransomware deben notificarse al IPA. Luego, continúa con tu trabajo de investigación y recuperación. Hacer copias de seguridad de los datos con regularidad puede minimizar los daños causados por este tipo de incidentes.
Filtración de datos
Las filtraciones de datos incluyen el acceso no autorizado a las redes, las actividades ilegales cometidas por los empleados (es decir, mala conducta interna), los correos electrónicos equivocados y la publicación accidental en la web. Si esto ocurre, debes confirmar el tipo y la cantidad de datos que se han filtrado, así como el estatus de las medidas de seguridad, como el cifrado y las restricciones de acceso.
En caso de acceso no autorizado, desconecta inmediatamente el dispositivo de la red y suspende los servicios. Esto es importante porque existe el riesgo de que se filtren datos personales o información confidencial. Si se filtran datos de tarjetas de crédito o cuentas, ponte en contacto con la empresa de la tarjeta de crédito y pide que se suspendan las cuentas.
En caso de una conducta indebida interna, restringe el acceso a los sistemas internos y guarda las pruebas, como ordenadores personales. Si se han enviado correos electrónicos a destinatarios equivocados, contacta con ellos y pídeles que los eliminen. Si la información se ha publicado por error en el sitio web de la empresa, elimínala inmediatamente o restringe el acceso para que no pueda verse desde fuera de la empresa.
Después de adoptar estas medidas, asegúrate de informar y notificar a las partes relevantes lo que sea necesario:
- Si la información filtrada, como la información de la cuenta, puede ser mal utilizada, avisa a las personas y empresas afectadas para evitar daños secundarios.
- Si se filtran datos personales, comunícaselo a la PPC.
- Si la causa de la filtración de información es de naturaleza criminal, como el acceso no autorizado o mala conducta interna, denúncialo a la policía.
- Si la causa de la filtración de información es un virus informático o un acceso no autorizado, informa del incidente a la oficina de informes del IPA.
A continuación, investiga el alcance, la causa y el daño de la información filtrada. Luego, continúa con los trabajos de recuperación para evitar que vuelva a ocurrir.
Desconexión del sistema
Si se produce una desconexión del sistema, identificar inmediatamente la causa puede ser complicado. Entre las posibles causas se incluyen fallos generales del equipo y brechas de seguridad, como ciberataques y errores de software. Si se desconoce la causa, la empresa debe reaccionar igual que si se tratara de un problema de seguridad.
Si el sistema funciona mal, hay fallos, se apaga o hay señales inminentes de que se puede producir una desconexión, ponte en contacto con el administrador del sistema o con el responsable de la seguridad de la información. Dependiendo de la situación, la parte responsable puede cambiar o apagar los servidores según sea necesario.
Después, ponte en contacto con los socios comerciales y denuncia el incidente ante los organismos gubernamentales pertinentes. Si hay un virus o un acceso no autorizado, denúncialo ante la oficina de informes del IPA. Investiga la causa del incidente y procede con los trabajos de recuperación y prevención para evitar que vuelva a ocurrir.
¿Cómo pueden mejorar la seguridad las empresas de e-commerce en Japón?
Las medidas de seguridad del e-commerce son importantes para proteger el funcionamiento diario. No importa el tamaño de la empresa, el fraude con tarjetas y las filtraciones de datos siempre son un riesgo que las empresas deben combatir.
Últimamente, es más fácil adoptar e integrar varias medidas, como 3D Secure, para fortalecer la verificación de identidad (es decir, los procedimientos de conocimiento del cliente [KYC]). Las empresas también pueden seguir los estándares del sector, como el PCI DSS, e introducir servicios de detección de fraude. Es importante permanecer alerta y tomar medidas proactivas por anticipado. Que una empresa nunca se haya enfrentado problemas de seguridad no significa que deba ser conformista. Los propietarios de empresas deben mejorar las medidas de seguridad de sus sitios de e-commerce para garantizar la fiabilidad, confianza y continuidad de sus empresas de e-commerce.
Cómo puede ayudar Stripe Radar
Stripe Radar utiliza modelos de IA, entrenados a partir de los datos de la red internacional de Stripe, para detectar y prevenir el fraude. Estos modelos se actualizan continuamente con las últimas tendencias de fraude para proteger a tu empresa frente a nuevas amenazas.
Stripe también ofrece Radar for Fraud Teams que permite a los usuarios añadir reglas personalizadas para hacer frente a situaciones de fraude específicas de sus empresas y acceder a información avanzada sobre fraudes.
Radar puede ayudar a tu empresa para:
- Prevenir pérdidas por fraude: Stripe procesa más de 1 billón de dólares en pagos anualmente. Esta escala permite a Radar detectar y prevenir el fraude con precisión, ahorrándote dinero.
- Aumentar ingresos: los modelos de IA de Radar están entrenados con datos reales de disputas, información de clientes, datos de navegación y mucho más. Esto permite a Radar identificar transacciones de riesgo y reducir falsos positivos, aumentando tus ingresos.
- Ahorrar tiempo: Radar está integrado en Stripe y no requiere ninguna línea de código para configurarlo. También puedes controlar tu rendimiento de fraude, escribir reglas y mucho más en una sola plataforma, aumentando así la eficiencia.
Más información sobre Stripe Radar o empieza hoy mismo.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.