Tutoriales WooCommerce

La amenaza constante de los ciberataques, y cómo protegerse

Mientras prosigue la invasión rusa de Ucrania, la atención se centra en los ciberataques y las amenazas a los sistemas mundiales, grandes y pequeños. 

Los medios de comunicación occidentales y ciberexpertos citados en los medios de comunicación vuelven a apuntar a Rusia ante la previsión de ciberataques en Occidente. Seguridad y académicos afirman que los ataques son probables tras el amplio abanico de sanciones contra Rusia como castigo por su invasión de Ucrania. 

Sin embargo, la realidad es que vivimos en un mundo en el que la amenaza de ciberataques es constante en todo el mundo. No son algo que surja únicamente en tiempos de crisis mundial o de guerra.

Convierta en una prioridad la identificación de las principales amenazas a las que se enfrenta su empresa y adopte medidas eficaces contra ellas, al tiempo que minimiza el impacto en las operaciones diarias de su negocio. Si no estás seguro de a qué ciberamenazas se enfrenta tu empresa, trabaja con un consultor de seguridad para identificarlas.

Ciberataques: Siempre alerta

Como CEO de la empresa de desarrollo web Saucal, estoy en contacto constante con fundadores y gerentes de eCommerce. Puedo ser testigo de la frustración y la miseria que experimenta cualquier propietario o gerente de un sitio web cuando su sitio es hackeado o su red se cae. Es una experiencia increíblemente costosa y disruptiva, y a veces puede tomar días o semanas para recuperarse.

Muchos de estos ataques se pueden prevenir. Pero antes de pasar a la prevención, quiero mencionar un par de cosas.

  1. Saucal no se dedica a la ciberseguridad. Lo que comparto aquí son mis sugerencias y consejos, y algunas cosas que vale la pena consultar. Para la prevención de ciberataques, recomiendo que las tiendas de comercio electrónico obtengan asesoramiento de una empresa de confianza que se especialice en servicios de ciberseguridad, o al menos lean o vean buenos contenidos sobre cómo protegerse.
  2. Creo firmemente en la importancia de los simulacros. Nos ayudan a prepararnos. Y los simulacros permiten prever lo que tienen en mente personas muy poderosas, y a veces incluso lo que podrían estar planeando a continuación. Si alguna vez tienes la oportunidad de participar en un simulacro, te lo recomiendo encarecidamente.

¡Prepárate para Cyber Polygon!

Hay muchos eventos, libros y formación que puede explorar para prepararse ante un ciberataque. Uno de los mejores es Ciberpolígono, fijada para el viernes 8 de julio de este año.

Apoyado por INTERPOL, Bi.zone y el Centro de Ciberseguridad del Foro Económico Mundial, Cyber Polygon es una conferencia única de ciberseguridad en línea que combina:

  • Una conferencia en línea con la participación de altos funcionarios de organizaciones mundiales.
  • Formación técnica en ciberseguridad para equipos corporativos.
  • Charlas de expertos en ciberseguridad práctica.

Este año el tema del acto será: Resistencia digital en la era de la nube. Ponentes de todo el mundo debatirán sobre cómo mantener la continuidad de las empresas y desarrollarse con seguridad en la era de la nube. Entre los expertos invitados figuran líderes de los sectores privado y público de todo el planeta, así como representantes de organizaciones internacionales.

Durante la formación técnica, los participantes trabajarán en las acciones de un equipo de respuesta corporativo en un ataque dirigido a su infraestructura de nube híbrida. Esta respuesta simulada supondrá un enorme e importante aprendizaje para los participantes. 
Cyber Polygon es anual, y puedes echar un vistazo al resumen del evento de 2021 aquí. Las principales áreas de interés el año pasado fueron:

  • El desarrollo seguro de los ecosistemas y los obstáculos que éstos deben superar.
  • El futuro del sistema financiero a medida que se desarrollan las monedas digitales.
  • Proteger a los niños contra el ciberacoso y otras amenazas en línea.
  • Explorar cómo la tecnología puede ayudar a las víctimas de la guerra.
  • Colaboración internacional en la lucha contra la ciberdelincuencia.

Por qué son importantes los eventos simulados

Si no está familiarizado con los ejercicios simulados, consulte Evento 201que tuvo lugar en 2019 antes de que la verdadera pandemia de COVID golpeara el mundo. El evento 201 vio cómo un virus simulado, llamado CAPS por Coronavirus Associated Pulmonary Syndrome (Síndrome Pulmonar Asociado a Coronavirus), se inició en cerdos brasileños que lo transmitieron a los granjeros. Provocó síntomas que iban desde síntomas gripales leves a la neumonía. A los tres meses, la hipotética enfermedad había causado 30.000 enfermos y 2.000 muertos. 

Lo espeluznante del Evento 201 es que se parecía tanto a la pandemia real -que se originó en China en 2019- que las noticias simuladas podían confundirse fácilmente con la cobertura mediática de la pandemia real que hemos visto en los últimos tres años.

Aún no se ha hecho pública toda la información sobre el Cyber Polygon 2022, pero supongo que tendrá el mismo planteamiento que el Evento 201. Habrá un ciberataque coordinado simulado en el que sucederá una de estas cosas: Se irá la luz o se caerá Internet, y con ello infraestructuras clave.

Ciberataques en el mundo post-COVID

La pandemia de COVID ha reconfigurado por completo el mundo cibernético. Considere estos puntos clave:

  • Durante y después de la COVID, casi todo se digitalizó. 
  • Lo digital abre el mundo, pero ahora es un importante talón de Aquiles: Si cae Internet, cae también toda una infraestructura.

Esto significa, sin lugar a dudas, que ha llegado el momento de protegerse. Cuando la gente me pregunta "¿Cómo puedo protegerme de un ciberataque?" esto es lo que les digo.

Cómo proteger su comercio electrónico (y a usted mismo) de los ciberataques

En primer lugar, si eres un particular que ha encontrado esta entrada del blog porque estás buscando material sobre ciberataques, no te preocupes demasiado. Es muy poco probable que los atacantes ataquen a particulares, a menos que seas una persona destacada en el conflicto entre Ucrania y Rusia, o que hayas hecho o dicho algo que ellos consideren ofensivo, provocador o peligroso.

Por otra parte, si tus opiniones molestan a un número suficiente de personas, a los propietarios de las plataformas o incluso a las grandes empresas tecnológicas, podrías ser víctima de la cultura de la cancelación. 

Por tanto, no se ponga nervioso, pero adopte medidas básicas. Y deberías hacer estas cosas de todos modos, no porque la amenaza de los ciberataques ocupe ahora los titulares.

Proteja sus finanzas y archivos personales de los ciberataques

Recomiendo encarecidamente considerar los ciberataques del mismo modo que se considera a la Madre Naturaleza, que puede ser impredecible, destructiva y violenta. Así que adopte el mismo enfoque de preparación para los ciberataques y añada una capa de preparación para el robo de identidad y el ransomware. Si su identidad se ve comprometida o le bloquean cuentas importantes, tenga a mano dinero en efectivo y Bitcoin por si las tarjetas de crédito o los bancos se ven afectados. Tenga en cuenta las recientes medidas adoptadas por Visa, MasterCard y American Express tras la invasión rusa de Ucrania

Asegúrese de que su casa dispone de un sistema eléctrico de reserva, junto con una buena provisión de alimentos no desechables y una forma de cocinarlos si se va la luz durante un par de días.

Diversificar fuera de Internet

Encuentra formas de tener partes de tu vida alejadas y separadas de Internet. En cuanto a los negocios, comprueba si puedes seguir haciendo tu trabajo sin Internet. Ahora sería un buen momento para tener copias de seguridad de los archivos en un disco duro externo (y luego desconectarlo de Internet o de tu portátil). Un dicho popular de TI sobre la nube es: "Es sólo el ordenador de otra persona". Si es posible, haz tu propia copia offline de todo lo que tengas guardado en la nube por si tu disco de Google sufre un percance. Almacena en un portátil todo lo que sea importante para ti. Cada dos meses, actualiza tus cosas en él. 

Además, ten una pequeña urgencia en la que puedas empezar toda tu vida digital desde cero, utilizando únicamente lo que tienes en la cabeza y un portátil nuevo. Practícalo. 
No creo que volvamos a la era anterior a Internet, pero algunos preparativos de sentido común servirán de mucho. Y si Internet se cae, asegúrate de que puedes acceder a los servicios esenciales. Tener un radioaficionado siempre es una buena idea: puede ser muy útil en caso de emergencia.

Proteja su tienda de comercio electrónico o negocio de los ciberataques

Evitar la censura de software

Intenta evitar la censura. Si es posible, utiliza software de código abierto: por eso creo en WordPress y WooCommerce. Ten siempre en cuenta que si te encuentras en una catástrofe natural, los principales servicios podrían quedar fuera de línea. Y en zonas de conflicto, podrías quedarte sin grandes plataformas tecnológicas. En la actual crisis entre Rusia y Ucrania, tanto Microsoft como Windows han sido desactivados a distancia.

Recomiendo estos pasos:

  1. Consigue un Nombre de dominio ETH
  2. Ten un correo electrónico de respaldo que no sea Gmail ni ningún correo de grandes tecnológicas. 
  3. Haz copias de seguridad de tus documentos, incluidas imágenes y vídeos, con una unidad extraíble independiente.
  4. Asegúrate de que tu negocio no depende únicamente de las aplicaciones de las tiendas App o Play.
  5. Compruebe que sus aplicaciones son compatibles con la web.

Actualice inmediatamente el software

Los piratas informáticos se aprovechan continuamente de las vulnerabilidades del software. Un ejemplo bien conocido son los Papeles de Panamá. Una de las primeras hipótesis sobre el supuesto hackeo de los documentos del bufete panameño Mossack Fonseca es que los piratas informáticos aprovecharon un fallo en un plugin llamado Revolution Slider utilizado por WordPress

En Saucal, le recomendamos que utilice diferentes sistemas de software para diferentes propósitos y que mantenga las conexiones entre ellos al mínimo. Aunque esto suene contradictorio y vaya en contra de la filosofía tecnológica actual de facilidad de uso e integración, tenga en cuenta que utilizar sólo uno o dos sistemas y tenerlos conectados puede suponer un riesgo de seguridad importante. Si un atacante accede a un sistema de software, puede navegar fácilmente por las conexiones a cualquier sistema conectado.

Cuando se le pida que actualice el software, hágalo lo antes posible. Recuerde que las actualizaciones de software son a veces parches, y los hackers explotarán cualquier vulnerabilidad que un parche esté diseñado para reparar.

Utilice la autenticación de dos factores

Siempre utiliza la autenticación de dos factores con un servicio como Authy, que aumenta drásticamente tu seguridad al requerir que ingreses un código visible desde tu dispositivo móvil o de escritorio. Los códigos de Authy se envían por SMS o a través de una aplicación que se sincroniza con el sitio web al que estás accediendo. Sin embargo, mi consejo es evitar el SMS si es posible, ya que es fácil secuestrar una SIM. Una aplicación en tu teléfono es una mejor opción.

Considera la posibilidad de utilizar una aplicación o servicio que se sincronice con varios dispositivos y que incluso pueda proporcionar acceso web, como 1Password. Este método es muy útil, porque si pierdes el teléfono sigues teniendo acceso a través de la web. Sin embargo, estás algo menos seguro porque guardas tus contraseñas encriptadas en la nube, que es básicamente el ordenador de otra persona. 

Cuidado al dar acceso al sitio

Dé acceso al sitio sólo a quienes lo necesiten, y confíe en las personas que tienen acceso. Por ejemplo, alguien del servicio de atención al cliente no necesita acceder a su sitio de comercio electrónico. Si quiere acceder, averigua primero por qué.

Utilice contraseñas seguras

Restablece tus contraseñas con regularidad y utiliza contraseñas seguras, porque las contraseñas poco fiables te matarán

La gente me pregunta por los gestores de contraseñas, pero no los recomiendo si quieres una configuración ultrasegura. Sé que ofrecen comodidad y conveniencia, y que son buenos generando contraseñas seguras, pero con los gestores de contraseñas sacrificas la seguridad. Ten siempre en cuenta que almacenar tus contraseñas en la nube puede ser peligroso, y ¿qué vas a hacer si te quitan el acceso?

Estas son mis recomendaciones para el uso y almacenamiento de contraseñas:

  1. No existe una única forma correcta de gestionar y almacenar contraseñas. Desarrolla el sistema más seguro para tu empresa y combínalo con la facilidad de uso.
  2. Guarde una copia local cifrada de sus contraseñas y haga una copia de seguridad.
  3. Yo no recomiendo esto, pero me doy cuenta de que algunas personas quieren copias impresas de sus contraseñas. Si este es tu caso, asegúrate de mantener esa copia super segura. Como ya he dicho, no confíes en los gestores de contraseñas porque suponen un riesgo para la seguridad.
  4. No guarde sus contraseñas en el navegador. Si te roban o piratean el portátil, el atacante tendrá tus contraseñas.
  5. El usuario es el eslabón débil. Si los miembros de tu equipo se apuntan las contraseñas, trabaja con ellos para desarrollar un sistema que sea más seguro. 
  6. Manténgase al día sobre los sistemas y la seguridad de las contraseñas.
  7. Si la gestión o la seguridad de las contraseñas es un problema para su empresa, solicite ayuda a una empresa de ciberseguridad de confianza.

Archivos de copia de seguridad

Haga una copia de seguridad semanal de su tienda de comercio electrónico, así como de todos los archivos empresariales que necesite y utilice con regularidad.

Seguimiento del acceso al sitio

Si utiliza WooCommerce, le recomiendo que instale la aplicación Plugin de registro de actividad para realizar un seguimiento de la actividad del sitio web. Activity Log es un plugin gratuito de registro de actividad para sitios web con WordPress. Registrará modificaciones en entradas y páginas, tipos de entradas personalizadas, medios, plugins, temas, ajustes de WordPress, cambios en el inicio de sesión y el perfil del usuario, y mucho más. Activity Log funciona con WooCommerce y bbPress sitios web para realizar un seguimiento de las acciones en su tienda en línea o sitio de membresía. Saucal utiliza Activity Log para todos sus proyectos con clientes. 

Auditoría de software de terceros

Las tiendas de comercio electrónico utilizan una gran cantidad de software y programas de terceros para realizar funciones y mantener el sitio funcionando sin problemas. Todo este software está construido de acuerdo a diferentes estándares. Así que, aunque necesites los programas y extensiones, pueden crear vulnerabilidades. Antes de instalar un nuevo software, comprueba las críticas, habla con los desarrolladores, si es posible, e infórmate sobre la empresa que lo ha creado. Sopese los riesgos y los beneficios antes de instalar nada en su sitio web. 

Si tu tienda de comercio electrónico está en WooCommerce, es fácil ver reseñas o consultar la opinión de la comunidad de WordPress sobre el plugin o la extensión. Si es posible, utiliza un desarrollador web como Saucal para crear extensiones personalizadas para su sitio web.

No dependa de una única fuente de tráfico

Este es un error que muchas empresas siguen cometiendo, a pesar de las lecciones del pasado. Si su tráfico proviene de un solo lugar, encuentre múltiples fuentes, y rápido. ¿Recuerdas cómo las empresas solían depender de Facebook, por ejemplo, para todo su tráfico? Los cambios que el gigante tecnológico ha introducido en los algoritmos de noticias y en las funciones de las páginas a lo largo de los años han acabado literalmente con algunas pequeñas empresas. Haz de la búsqueda de diversas fuentes de tráfico una prioridad. 

Disponer de una estrategia de recuperación tras un ciberataque

Los piratas informáticos son innovadores y trabajan duro para explotar todas las medidas diseñadas para proteger a las empresas y las tiendas de comercio electrónico. Ten un plan preparado para que tu tienda pueda volver a funcionar rápidamente y tranquilizar a los clientes, si es necesario.

Utiliza un hosting de buena reputación o aloja tu tienda de comercio electrónico por ti mismo. Recomendamos VIP para tiendas WooCommerce. Si estás con Shopify o BigCommerce, probablemente sepas que, aunque ellos respaldan su propia infraestructura, estás por tu cuenta cuando se trata de archivos como imágenes, facturas, historial de compras de clientes y datos.

¿Preguntas sobre ciberseguridad? Déjelas en los comentarios y las responderemos en breve.