7/6/2018 Cómo garantizar la seguridad de un sitio web de comercio electrónico

Blog Productos Autores Acerca de GlobalSign Contacto

Blog de GlobalSign

13 ene 2017

Cómo garantizar la seguridad

Write for Us
de un sitio web de comercio
electrónico Apply Now

Imagínese que fuese el encargado de una tienda ubicada en un centro comercial.

Subscribe to our Blog
¿Con qué medidas de seguridad básicas contaría?
Email:*
Probablemente dispondría de puertas con cerrojos, cámaras de circuito cerrado,
sistemas de alarma, etc.
Submit
Se trata, en su mayoría, de dispositivos de seguridad visibles cuyo funcionamiento
es conocido por todos.
View GlobalSign's Privacy Policy

Pero... ¿qué sucede cuando, en lugar de una tienda física, su responsabilidad

consiste en gestionar un negocio de venta online? En este caso, ya no tiene que
enfrentarse a la amenaza de los ladrones tradicionales, sino a la de hackers – Connect with us
probablemente experimentados – que cuentan con ventaja por su conocimiento de
las debilidades de las tiendas electrónicas y que buscan constantemente
vulnerabilidades que aprovechar.

Sin embargo, estos distan mucho del típico ladronzuelo cuyo objetivo es llevarse
unos pocos artículos para venderlos en el mercado negro local.

Los hackers persiguen un activo mucho más valioso: los datos, y ya se trate de las
tarjetas de crédito o los documentos de identidad de sus clientes, su tienda de
comercio electrónico y su negocio se encontrarán en peligro a menos que adopte
las acciones necesarias para protegerlos.

Esta es precisamente la razón por la que hemos elaborado unos sencillos consejos
que le ayudarán a proteger su sitio de comercio electrónico y su negocio.

Elija un proveedor de hosting especializado en comercio

electrónico
Probablemente, habrá realizado una importante inversión en su página web.
Diseñar, desarrollar, optimizar y promocionar un sitio de este tipo supone un coste
económico importante, y debe preguntarse hasta qué punto es conveniente
arriesgar toda esta inversión optando por un servicio de alojamiento web de bajo
coste.

Aunque lo cierto es que actualmente la oferta de servicios de hosting es enorme, es

necesario huir de la tentación de contratar planes de alojamiento extremadamente
baratos, ya que, con frecuencia, lo que ofrecen en realidad es un falso ahorro.

https://www.globalsign.com/es/blog/como-garantizar-la-seguridad-de-un-sitio-web-de-comercio-electronico/ 1/6
7/6/2018 Cómo garantizar la seguridad de un sitio web de comercio electrónico

Hacerlo sería como construir un coche de carreras y equiparlo con ruedas de

Blog Productos Autores Acerca de GlobalSign Contacto
bicicleta.

Si aloja su sitio en un servicio de hosting compartido con cientos de miles de

usuarios, es probable que acabe teniendo la sensación de estar en un "vecindario
ruidoso", y a nadie le gusta vivir en un sitio así. Se trata de entornos rudos y
antisociales que tienden a degradar el estatus de sus "habitantes".

Si su tienda se aloja en uno de estos servidores tipo "bu et libre", ¿qué garantías
tiene de que el proveedor está invirtiendo en seguridad? Realmente pocas, y
además existe una alta probabilidad de que la dirección IP de su servidor se incluya
constantemente en listas negras.

Por tanto, la mejor opción para los minoristas de comercio electrónico serios y
sensatos es probablemente contar con un servidor privado virtual, que combina un
rendimiento excelente y ampliable con un coste razonable y magní cas opciones de
personalización de la seguridad.

Aunque con gurar la seguridad de su servidor es una tarea bastante sencilla, si no

puede asumirla usted mismo, siempre puede recurrir a un proveedor de hosting de
renombre y optar por un servicio de servidor gestionado.

Migre a HTTPS
Hasta hace muy poco, utilizar un alojamiento seguro HTTPS junto con un certi cado
SSL era, por lo general, una combinación reservada para el área de pago de los
sitios. Aunque, naturalmente, este sigue siendo el caso de muchas páginas, es cada
vez más frecuente que sus propietarios pasen a proteger la totalidad de sus sitios
web..

Un hecho determinante para el comienzo de esta tendencia fue que Google

declarase en 2014 su intención de redoblar sus esfuerzos en materia de seguridad e
incluir el HTTPS como factor de posicionamiento. Otro acontecimiento que
contribuyó a esta migración fue la noticia de que los navegadores iban a comenzar a
penalizar a los sitios basados en el protocolo HTTP. De hecho, Google anunció
recientemente sus planes a largo plazo de marcar todos los sitos HTTP como "no
seguros", y Mozilla manifestó una posición similar allá por 2015.

Si desea migrar su sitio al protocolo HTTPS, deberá elegir en primer lugar un

certi cado SSL. Puede adquirir dicho certi cado a través de su empresa de hosting o
acudir a un proveedor SSL de renombre.

Aunque lo habitual es que le ayude a instalar el certi cado SSL, después tendrá que
realizar una serie de acciones para migrar su sitio al protocolo HTTPS, como
actualizar los vínculos internos del sitio, establecer hasta 301 redireccionamientos,
actualizar los vínculos de los correos electrónicos de las transacciones, etc.

En términos generales, el uso de un certi cado SSL es hoy en día el precio básico de
entrada en materia de seguridad en Internet, y todo parece indicar que será incluso
más importante cuando los navegadores comiencen a penalizar los sitios HTTP.

Elija una plataforma segura y manténgala protegida

En la actualidad, la oferta de plataformas de comercio electrónico es muy amplia. Es
importante garantizar que la plataforma de comercio electrónico elegida no solo
funciona como usted desea, sino que cuenta con una buena reputación en materia
de seguridad y se actualiza regularmente.

https://www.globalsign.com/es/blog/como-garantizar-la-seguridad-de-un-sitio-web-de-comercio-electronico/ 2/6
7/6/2018 Cómo garantizar la seguridad de un sitio web de comercio electrónico

Herramientas como Magento, WooCommerce y PrestaShop constituyen

Blog Productos Autores Acerca de GlobalSign Contacto
plataformas de comercio electrónico muy populares. Sin embargo, su popularidad
pasa factura. Los hackers buscan constantemente vulnerabilidades en estas
herramientas, por lo que los desarrolladores no dejan de lanzar parches y
actualizaciones de seguridad.

La clave radica en no presuponer que una vez que el sitio está disponible en
Internet, ya no es necesario mantenerlo ni actualizarlo, o que estas tareas son
responsabilidad del desarrollador, el diseñador o la empresa de hosting.

En última instancia, usted es el responsable de la seguridad. Aunque no tenga

conocimientos técnicos, debe garantizar que alguien de su equipo, ya sea a nivel
interno o a través de un proveedor o socio, vela por su seguridad.

No olvide visitar el sitio web del fabricante de su software para estar al día de las
actualizaciones y compruebe con su experto en seguridad que estas se han
implantado en su sitio.

Muchos estarán de acuerdo en que la mejor opción es usar una aplicación de

seguridad para comercios electrónicos integral que, además de protegerle frente a
las vulnerabilidades más comunes, comprobará el sitio del proveedor para
garantizar que se está ejecutando la versión más actualizada.

Proteja su área de administración

Una de las formas más sencillas y económicas para mejorar la seguridad de su sitio
web es proteger su área de administración.

Si utiliza una plataforma de comercio electrónico como Magento o WooCommerce

(basadas en WordPress), contará con un área de administración predeterminada.
Simplemente modi cando este aspecto evitará los ataques de hackers más directos
que buscan víctimas fáciles.

Un punto muy importante es cambiar el nombre de usuario del administrador

predeterminado. Los hackers buscan objetivos sencillos. Si utiliza un nombre de
usuario predeterminado, tal como "admin", será una presa fácil. Asegúrese de que
sus credenciales de inicio de sesión son originales y difíciles de descifrar.

También puede restringir el acceso al área de administración estableciendo una lista

de direcciones IP con privilegios de acceso que supervise el administrador del
servidor y que permita el acceso al área de administración únicamente a direcciones
IP conocidas.

Por último, puede con gurar su área de administración de forma que noti que al
administrador cada vez que se supere un umbral especí co, como un número
determinado de intentos de inicio de sesión fallidos o intentos de acceso con
direcciones IP desconocidas.

Se trata de acciones sorprendentemente sencillas y económicas pero muy e caces.

Realice copias de seguridad regulares de sus datos

¡Imagínese despertar y descubrir que su sitio ha sido hackeado!

Debe ser la peor forma de comenzar un día.

Pero, imagínese cómo se sentiría si no contase con una copia de seguridad. La cosa
no hace más que complicarse.

https://www.globalsign.com/es/blog/como-garantizar-la-seguridad-de-un-sitio-web-de-comercio-electronico/ 3/6
7/6/2018 Cómo garantizar la seguridad de un sitio web de comercio electrónico

Recuerde que puede perder los datos por un fallo de hardware o por un simple error
Blog Productos Autores Acerca de GlobalSign Contacto
humano (estas cosas pasan).

La realidad es que nunca tomará demasiadas precauciones a la hora de realizar

copias de seguridad de sus datos. Y recuerde: USTED es el responsable.

No presuponga que es tarea de su empresa de hosting o su diseñador web. Sus

datos son su propiedad y, por tanto, su responsabilidad.

Aunque existen métodos manuales para realizar copias de seguridad de sus datos,
el peligro es olvidarse o perder el hábito de hacerlo regularmente y acabar con una
copia de seguridad de hace dos o tres meses, que no sirve para mucho.

La mejor solución es un servicio de copia de seguridad automático del que se pueda
olvidar una vez con gurado. Esto le permitirá descansar sabiendo que sus datos
están almacenados, protegidos y actualizados.

Nunca conserve los datos de las tarjetas de sus clientes

Algunas plataformas de comercio electrónico permiten aceptar los datos de la
tarjeta de sus clientes y almacenarlos. Esto es algo que NUNCA debería hacer.

Además, constituye una mala práctica, que podría acarrearle cuantiosas multas en
caso de intrusión en sus sistemas.

Lo ideal es utilizar los servicios de un proveedor de pasarela de pago y lograr que

los pagos se realicen fuera de su sitio. Estos proveedores cuentan con los niveles de
seguridad más altos para gestionar este tipo de datos sensibles.

Si está empezando su actividad y su presupuesto es ajustado, servicios como los de

PayPal le permitirán comenzar a operar. Además, algunos clientes pre eren utilizar
PayPal, por lo que es bueno ofrecerles esta opción.

Sin duda, también es una buena práctica tratar de conseguir la acreditación del
Estándar de Seguridad de Datos para la Industria de las Tarjetas de Pago(PCI DSS).

Para cumplir los requisitos de la norma PCI-DSS, su sitio web debe ser capaz de
garantizar la integridad de los datos nancieros de sus clientes y deberá implantar
un control de acceso sólido en toda la web.

Utilice un software antifraude basado en la

geolocalización
Los ataques de hackers no son un problema local, sino mundial.

Los intentos de usar los datos de tarjetas robadas pueden implicar el robo de una
tarjeta en una parte del mundo para enviarla electrónicamente al otro extremo del
planeta y utilizarla en actividades fraudulentas a través de Internet.

Además del hecho de que puede perder ingresos al enviar productos de pedidos
falsos y comenzar a recibir recargos, lo ÚLTIMO que desea es ser identi cado como
una víctima fácil para los ciberdelincuentes.

Una forma de abordar este problema es emplear una herramienta antifraude

basada en la geolocalización. Estas herramientas proporcionan puntuaciones
relativas al grado de probabilidad de fraude en tiempo real que permiten al
comercio determinar el nivel de riesgo de una transacción en particular.

https://www.globalsign.com/es/blog/como-garantizar-la-seguridad-de-un-sitio-web-de-comercio-electronico/ 4/6
7/6/2018 Cómo garantizar la seguridad de un sitio web de comercio electrónico

El algoritmo analiza una serie de criterios relativos a la dirección IP el pedido y tiene

Blog Productos Autores Acerca de GlobalSign Contacto
en cuenta los métodos de encubrimiento más populares, como el uso de proxies, y
los compara con su base de datos de miles de millones de transacciones para crear
una puntuación de riesgo de fraude uni cada.

En caso de sospecha, esta información le dará la oportunidad de reembolsar el

dinero del pedido o realizar comprobaciones manuales adicionales.

Lo que me lleva a hablar del siguiente punto…

Cree políticas y procedimientos de seguridad manuales

No subestime la e cacia de los procedimientos manuales más sólidos.

Por ejemplo, retomemos el caso anterior en el que recibe un pedido con una
puntuación de riesgo alta, pero a su parecer todo es correcto.

¿Qué debería usted o su equipo hacer? Podría a) arse de su intuición o b) realizar

alguna investigación adicional.

La opción b) es la más recomendable. En este punto es donde entran en juego sus

políticas y procedimientos de seguridad.

Aunque el simple hecho de pensar en procesos y procedimientos le haga bostezar,

piense que puede ser tan sencillo como telefonear al cliente al número
proporcionado. Si no logra contactar con él, puede enviarle un correo electrónico
solicitándole uno o dos datos identi cativos.

Se trata de encontrar la solución más adecuada para sus circunstancias.

Además, puede ampliar estas medidas a otros aspectos como las políticas en
materia de contraseñas y la seguridad física, por ejemplo para los objetos o
portátiles robados usados para acceder a sus sistemas.

Seguridad multicapa
Puesto que no existe una fórmula mágica capaz de proteger su sitio, lo ideal es
implantar una serie de capas de seguridad.

Podría comenzar con un rewall. Puede optar por un rewall físico o un rewall de
aplicación web, en función de su presupuesto. Como poco, estas soluciones ofrecen
una primera línea de defensa frente a los ataques de hack más populares, como la
inyección SQL o el XSS (cross-site scripting).

También puede reforzar su sitio usando una red de entrega de contenidos (CDN). Se
trata de un conjunto de servidores repartidos en distintos puntos geográ cos que
almacenan copias de las páginas de su sitio web.

Una de las ventajas de seguridad del uso de una CDN es que "aprende" a reconocer
el trá co malintencionado e impide que su sitio sufra daños.

Otra ventaja es que una CDN es capaz de evitar los ataques de denegación de
servicio distribuido (DDoS).

Como alternativa, también puede evitar los DDoS en su servidor usando el software
gratuito OpenSource.

Conclusión
https://www.globalsign.com/es/blog/como-garantizar-la-seguridad-de-un-sitio-web-de-comercio-electronico/ 5/6
7/6/2018 Cómo garantizar la seguridad de un sitio web de comercio electrónico

Aunque la seguridad no es gratis, resulta más económica que sufrir ataques de hack.
Blog Productos Autores Acerca de GlobalSign Contacto

En última instancia, no existe una única solución uni cada capaz de proteger y
asegurar los sitios de comercio electrónico.

La mejor solución es combinar el software y la plataforma de hosting adecuados y

logra mantener el sistema actualizado y protegido.

En cualquier caso, prepárese para las malas noticias. No olvide realizar copias de
seguridad automáticas de su sitio.

Considere implantar un enfoque por capas usando distintas herramientas y no

olvide que los ables procedimientos escritos son cruciales para mantener su sitio
seguro y protegido.

Share this Post

por Tony Messer

ACERCA DE GLOBALSIGN HERRAMIENTAS CENTRO DE APRENDIZAJE CONTACTO SIGANOS

Perfil de la Compañia Verificador de configuración SSL Sitio de Soporte 1-877-775-4562

Blog Herramienta de firma PDF Centro de Información SSL contacto@globalsign.com

Noticias & Eventos Firma de Código Recursos Chat

Repositorio Legal Herramienta de Inventario de Historia de Consumidores Solicite Contacto de Ventas

Certificados CIT
Alertas de Sistema Envie un Ticket de Soporte

GlobalSign es el proveedor líder de soluciones confiables de

identidad y seguridad digital que permiten que pequeñas y grandes
empresas en todo el mundo, además, proveedores de servicios en la
nube y empresas innovadoras en el área de la Internet de las Cosas
(IoT), aseguren las comunicaciones en línea, administren millones de
identidades digitales verificadas y automaticen la autenticación y el
Obtenga un Sello de Seguridad de GlobalSign
cifrado. Su infraestructura de clave pública (PKI) escalable y sus
soluciones de identidad respaldan los miles de millones de servicios,
dispositivos, personas y cosas que componen la Internet de Todo
(Internet of Everything – IoE).

https://www.globalsign.com/es/blog/como-garantizar-la-seguridad-de-un-sitio-web-de-comercio-electronico/ 6/6