Professional Documents
Culture Documents
AMENAZAS Y
RIESGOS
COMERCIO ELECTRÓNICO
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO
Cuando se hacen transacciones por medio de internet, las partes involucradas se pueden
enfrentar a los siguientes problemas:
Falta de contacto físico con el producto: Las transacciones que se realizan a través de Internet son de
carácter no presencial, lo que genera un cierto grado de incertidumbre. A su vez se omite tanto la
atención personal como el contacto físico con el artículo, factores que pueden influir de forma
determinante en la elección de un producto u otro.
En el caso del comercio electrónico, a fin de eliminar dicha desventaja se está produciendo la
incorporación de chats en directo o asistentes virtuales que ayudan a resolver dudas durante el proceso
de compra.
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO
Falta de seguridad y fiabilidad: Es un punto clave a la hora de decidir la compra a través de Internet que
la empresa esté bien identificada y sobre todo que ofrezca la posibilidad de contactar directamente con
ella.
También es vital que disponga de información clara, completa y concisa tanto sobre temas contractuales
como sobre el producto/servicio y el precio, clarificando los gastos que van o no incluidos en la
transacción.
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO
Problemas de distribución: Las incidencias logísticas (retrasos en la recepción, recepción del pedido con
desperfectos, no recibir el producto) son otro de los principales inconvenientes del comercio
electrónico.
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO
Problemas de pago: En la mayoría de los casos, las compras a través de Internet se realizan utilizando el
número de la tarjeta de crédito del comprador, pero aún no es 100% seguro introducirlo en la Red sin
conocimiento alguno.
Problemas de pago: En la mayoría de los casos, las compras a través de Internet se realizan utilizando el
número de la tarjeta de crédito del comprador, pero aún no es 100% seguro introducirlo en la Red sin
conocimiento alguno.
Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la
administración, de la compañía o del círculo o un cliente, proveedor, etc.
Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste
podría ser un pretexto de seguridad o una situación de emergencia;
Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el
alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o,
en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la
compañía.
Ingeniería social
La ingeniería social puede llevarse a cabo a través de una serie de medios:
Por teléfono,
Por correo electrónico,
Por correo tradicional,
Por mensajería instantánea,
etc.
¿Cómo puede protegerse?
La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido
común y no divulgando información que podría poner en peligro la seguridad de la compañía.
Sin importar el tipo de información solicitada, se aconseja que:
Averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía,
número telefónico);
Si es posible, verifique la información proporcionada;
Pregúntese qué importancia tiene la información requerida.
En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca
de los problemas de seguridad.
Caso de estudio #1:
Caso de estudio #2:
Caso de estudio #3:
Spoofing
Este término se refiere a la falsificación de unos datos, modificándolos de algún modo para
obtener por ello un beneficio. Los ataques de seguridad en las redes a través de técnicas de
spoofing ponen en riesgo la privacidad de los usuarios que navegan por Internet, así como la
integridad de sus datos.
Pharming
En este tipo de ataque, los delincuentes redireccionan a sus víctimas a páginas web falsas
utilizando varios métodos, como por ejemplo correos electrónicos con asuntos llamativos para
que las víctimas los abran y sean atacadas; poniendo en peligro información privada.
Estafas de
ingeniería social
más nuevas
Los ingenieros sociales, esos
criminales que se aprovechan del
comportamiento humano para
obtener acceso a datos o infiltrarse en
los negocios, fueron quienes alguna
vez engañaban a la gente con ofertas
gratuitas o videos graciosos antes de
estafarlos. Hoy en día, las pandillas de
ingeniería social se han inclinado hacia
tácticas y técnicas de mano dura,
amenazas, crueldad emocional y
horribles ultimátums.
Phishing con nuevas variedades letales
de ransomware (captura de información)
El ransomware atrajo la atención de los negocios en el 2013 con Cryptolocker, el cual infectaba
las computadoras operadas con Microsoft Windows para encriptar todos los archivos que una
máquina contenía, así como los archivos de los servidores compartidos. Los extorsionadores
solicitaban luego un pago de rescate para entregar la clave que permite desencriptar el disco.
Este pago era de alrededor de unos 200 dólares en bitcoins, modeda virtual que no puede ser
rastreada. Mientras más se demoraba la víctima en pagar, el rescate aumentaba y se corría el
riesgo de que la información fuera borrada.
Este año, CryptoDefense ha sido mejorado y elige como blanco a textos, imágenes, videos, PDF y
archivos Office MS; los encripta con una poderosa clave RSA-2048, la cual es difícil de descifrar.
También limpia todas las Shadow Copies, las cuales son usadas por muchos programas
de backup.
Llamadas de robots para información de
la tarjeta de crédito
Sistemas de respuestas de voz interactivos y robocalls o llamadas de robots, juegan un papel muy
importante en las nuevas estafas de ingeniería social a la hora de buscar información sobre la tarjeta
de crédito o contraseñas. Las pandillas se roban miles de números telefónicos y usan las llamadas de
robots para llamar a los empleados desprevenidos. “Son completamente automatizadas”.
El mensaje es algo como: ‘Esta es su compañía de tarjetas de crédito. Estamos averiguando sobre un
cargo fraudulento a su tarjeta. ¿Usted compró una televisión de pantalla plana a 3.295 dólares?
Presione 1 si sí lo hizo y presione 2 si no’. Si la persona responde que no, se le pide que ingrese su
número de tarjeta de crédito, fecha de expiración y código de seguridad.
En algunos casos, los empleados se preocupan de que la compañía de la tarjeta de crédito haya sido
comprometida y que por ende, ellos se metan en algún problema, así que le siguen la corriente.
“Solo para hacerlo más malo, le dicen a la víctima que ponga su número de celular para que un
representante pueda llamarlo y revertir el cargo”, agrega.
Registros de salud por los ataques spear-
phishing
Por violaciones de datos masivas en el 2013, el elemento criminal ha llegado a un punto en el
que pueden tomar información de identificación personal y comenzar a fusionar o unir registros,
incluyendo los de salud.
Por ejemplo, un correo electrónico falso al parecer ha sido enviado por su empleador y su
proveedor de atención médica o servicio de salud, anunciando que han hecho algunos cambios
a su programa de salud. Están ofreciendo tasas de seguro preferenciales para los clientes que
tienen el número de hijos que usted tiene. Luego, invitan al que está leyendo el correo
electrónico a echarle un vistazo a un link que, al parecer, lo va a dirigir hacia la página web del
proveedor de los servicios de salud.
“Por el hecho de que el correo electrónico está cargado de toda la información personal del
lector, hay grandes posibilidades de que un clic sea suficiente -y que eso sea lo que se necesite
“para infiltrarse en los sistemas de las compañías”
Phishing con los funerales
Quizás, el más nuevo. Se ha detectado que algunas pandillas de ingeniería social envían correos
electrónicos del tipo phishing a la gente, haciéndose pasar como una casa funeraria y diciéndole al
remitente del correo que uno de sus amigos cercanos falleció y que la ceremonia de entierro va a ser
en tal fecha. Para hacer esto, ya penetraron y comprometieron previamente la página web de la casa
funeraria, así que justo en el momento en el cual el amigo confundido hace clic en la página web
comprometida, se le re direcciona al servidor de la pandilla.
Esta estafa de ingeniería social es penosa pero verdadera. “Hay unas cuantas historias de que este
tipo de estafa está siendo usada con éxito. La gente que da clic es cargada con los credenciales
cosechados por el estafador”.
En el sitio web falso, la pandilla suelta rápidamente una pieza de malware que con el tiempo destruye
mucha información. También suelta un troyano, y hace que la computadora se convierta en un
zombie capaz de ser partícipe de actos nefastos, como atacar otras computadoras y mandar spam.
Usos del
comercio
electrónico
Usos del comercio electrónico
El comercio electrónico puede utilizarse en cualquier entorno en el que se intercambien
documentos entre empresas: compras o adquisiciones, finanzas, industria, transporte, salud,
legislación y recolección de ingresos o impuestos. Ya existen compañías que utilizan el comercio
electrónico para desarrollar los aspectos siguientes:
Transacciones entre una empresa y sus clientes mediante una red pública de telecomunicaciones
(teléfono+módem) con el propósito de realizar compras desde el hogar ("home shopping"), o el banco en su
casa ("home banking") utilizando técnicas de cifrado para manejar los aspectos de seguridad y dinero
electrónico.
Transacciones para la obtención de información: investigación de mercados utilizando exploradores de
códigos de barras, tratamiento de información para la toma de decisiones directivas o la solución de
problemas organizativos, y la manipulación de información para la organización de operaciones, como la
administración de la cadena de proveedores de una empresa.
Transacciones para la distribución de información con clientes potenciales, tales como mercadeo, publicidad, y
ventas interactivas.
La conectividad entre los participantes es una cuestión esencial para la viabilidad del comercio electrónico, e
Internet lo consigue a un costo bajo.
CAMBIOS EN LAS EMPRESAS
El continuo avance en el mejoramiento de la infraestructura de las telecomunicaciones ha
proporcionado los medios para el intercambio casi instantáneo de los datos. El comercio
electrónico hace uso de estos flujos de datos de una forma eficaz. El intercambio eficiente de la
información determina el éxito de una empresa; cuando se logra asegurar que el personal de
una compañía consume más tiempo en la producción o venta de productos y servicios, en lugar
de reprocesar innecesariamente los datos, podemos decir que ha iniciado la optimización de su
potencial.
El comercio electrónico se introduce en las empresas en tres fases: