Pagos en línea: Buenas prácticas de seguridad para organizaciones e individuos

A medida que aumenta la actividad de los pagos en línea, también lo han hecho los esfuerzos de los  ciberdelincuentes, lo que ha resultado en pérdidas masivas para individuos y organizaciones que han sido víctimas de estos ataques. Generalmente, las compras en línea son una actividad muy segura si se establece bajo estándares básicos necesarios, sin embargo, son los hábitos de los individuos y organizaciones, los que lo hacen inseguro. Y eso es exactamente en lo que confían los ciberdelincuentes.

Simultáneamente con el aumento de cifras de identidades y cuentas robadas, filtraciones de datos y fraudes con tarjetas, las organizaciones y los proveedores de pagos han duplicado la seguridad de sus entornos digitales. Aún así, los pagos electrónicos enfrentan amenazas de ciberseguridad, desde actividades de pago fraudulentas hasta skimming y más, estas son algunas de las amenazas más comunes:

  • Amenazas persistentes avanzadas (APT). Los correos electrónicos de phishing y los intentos de engañar a los empleados para que descarguen malware se encuentran entre las APT más comunes. Una vez que una persona ingresa al sistema, el robo de datos, el fraude y otras preocupaciones pueden continuar durante un período prolongado. Mucho peor que un solo pago fraudulento, el problema puede resultar en un robo masivo de datos y pérdidas millonarias.
  • Amenazas internas. Cualquiera que tenga acceso a información confidencial puede robar datos y causar daños graves por una violación de datos. Utilizando su correo electrónico personal o un dispositivo USB, un infiltrado puede, de forma intencionada o no, provocar un compromiso masivo en un sistema.
  • Ataques distribuidos de denegación de servicio (DDoS). Cuando los piratas informáticos inundan una red con solicitudes, pueden abrumar y no procesar transacciones reales. No se trata de poner dinero en manos de delincuentes, sino de quitarle negocio a una empresa o servicio.
  • Tomas de cuenta. Los delincuentes utilizan dispositivos de robo, trucos y otros métodos tortuosos para victimizar a los titulares de tarjetas. Roban la tarjeta de crédito del titular de la tarjeta o su número y comienzan a iniciar actividades de pago fraudulentas. Esto puede suceder en el centro comercial, en un cajero automático o en cualquier lugar donde se exponga una tarjeta.
  • Infracciones en la cadena de suministro. Los proveedores de pagos pueden convertirse en víctimas de actividades delictivas cuando se producen infracciones en la cadena de suministro. Esto incluye problemas con hardware y software que no es seguro.

Es por esto, la gran importancia de implementar procedimientos y regulaciones de seguridad importantes para el manejo de pagos electrónicos como organización y como individuo. Algunas recomendaciones generales serían:

PRÁCTICAS DE SEGURIDAD PARA ORGANIZACIONES

Establecer un servicio de verificación de direcciones (AVS)

Verificar los detalles proporcionados durante la transacción puede ayudar a identificar una transacción potencialmente fraudulenta y proteger el negocio y al cliente antes de que ocurra el fraude. El Servicio de verificación de direcciones (AVS) compara la dirección IP del comprador con la dirección de facturación de la tarjeta de crédito utilizada para garantizar que el cliente es el titular de la tarjeta.

Cifrar datos: Protocolo SSL

SSL y TLS: (Transport Layer Security) TLS y (Secure Sockets Layer) son protocolos que autentican y cifran datos cuando se mueven en Internet. Proteger las transacciones con protocolos SSL garantiza que la información confidencial se cifre y solo el destinatario previsto pueda acceder a ella..

Una forma de saber que un sitio web está usando SSL es observar si su URL comienza con https. Las URL de sitios web que comienzan con https tienen un certificado SSL. Ese certificado es esencialmente una prueba de que el sitio está utilizando encriptación SSL. Otro símbolo común asociado con SSL es el candado. Si un sitio tiene un candado que aparece cerca de su URL, tiene certificación SSL.

  • Cree su sitio web con un creador que ofrezca certificación SSL
  • Compre la certificación SSL de un vendedor externo
  • Utilice una pasarela de pago o una página de pago ofrecida por su empresa de procesamiento

Usar tokenización de pago

La tokenización de tarjetas de crédito anula la identificación de la información de pago confidencial al convertirla en una cadena de números generados aleatoriamente, llamados “token”. Como token, la información se puede enviar a través de Internet o redes de pago para completar el pago sin exponerse.

Requerir contraseñas seguras

Los ciberdelincuentes intentan acceder a las cuentas de los usuarios con combinaciones de nombres, fechas de nacimiento y palabras del diccionario que se utilizan con frecuencia. Proteger las cuentas de los clientes con una contraseña segura puede agregar una línea de defensa. En el caso de que el cliente no pueda recordar su contraseña segura, es necesario que exista un proceso de “olvidó su contraseña” para permitirle acceder a su cuenta.

Implementar 3D seguro

3D Secure es un método de autenticación diseñado para evitar el uso no autorizado de tarjetas y protege a los comerciantes de comercio electrónico de contracargos en caso de una transacción fraudulenta. Los comerciantes, las redes de tarjetas y las instituciones financieras comparten información para autenticar transacciones. Todos los comerciantes deben cumplir con las nuevas leyes de la UE para una autenticación sólida de los clientes y 3D Secure es una forma eficiente de hacerlo.

Solicitar el CVV

El valor de verificación de tarjeta (CVV) se puede utilizar para validar transacciones sin tarjeta presente, ya sea por teléfono o en línea. Si los números de la tarjeta de crédito han sido robados, solicitar información que solo está disponible en la tarjeta puede ayudar a los comerciantes a validar el pago.

Utilice la autenticación fuerte de clientes (SCA)

SCA se utiliza para reducir el fraude y aumentar la seguridad de los pagos en línea y solicita dos o más elementos del uso en el proceso de autenticación. Algo que sabes (una contraseña o PIN), algo que tienes (una placa o un teléfono inteligente) o algo que eres (huellas dactilares o reconocimiento de voz).

Supervise el fraude continuamente

Los comerciantes necesitan una pasarela de pago que detecte y gestione el fraude. El monitoreo de fraude incorporado identifica dónde puede haber un riesgo real de una compra fraudulenta. Las empresas pueden establecer reglas, en función de su situación y tolerancia al riesgo, que limiten o rechacen transacciones que se consideren de demasiado alto riesgo, o que requieran aprobación manual antes de que se complete una transacción.

Administrar el cumplimiento de PCI

Los comerciantes que procesan, almacenan o transmiten datos de tarjetas de crédito deben cumplir con PCI. Las consecuencias de una filtración de datos para una empresa que no cumple con las normas son significativas y pueden incluir costosas multas y sanciones, además de un importante daño a la reputación.

Los procesadores de pagos juegan un papel importante para ayudar a los comerciantes a administrar y mantener el cumplimiento, pero las empresas deben asumir un papel proactivo para comprender sus obligaciones y requisitos de cumplimiento .

Capacitar a los empleados

Proporcionar a las personas los conocimientos y habilidades que les permitan reconocer y responder adecuadamente. Cuando el equipo comprende el proceso de pago seguro, está mejor preparado para identificar la actividad fraudulenta en el momento en que ocurre y puede prevenir incidentes de seguridad de la información.

PRÁCTICAS DE SEGURIDAD PARA INDIVIDUOS

Búsquedas seguras en internet

La mayoría de las veces, el primer paso antes de comprar es buscar en motores de búsqueda, los usuarios corren el riesgo de hacer clic involuntariamente en resultados de búsqueda fraudulentos o infectados que podrían conducirlo a malware en lugar de al destino previsto. Puede usar herramientas como complementos de navegador de terceros, como Web of Trust. Estos pueden ayudar a evitar que haga clic en enlaces falsos e ingrese a sitios web maliciosos. 

Escriba la URL en la barra de direcciones

Los emisores de correos electrónicos de phishing envían enlace para ir a “sitios web” de interés de la víctima potencial. Sin embargo, esos enlaces en realidad lo llevan a sitios web similares diseñados inteligentemente. Para asegurarse de que va al sitio web real, es mucho más seguro escribir la URL del destino en la barra de direcciones de su navegador web. 

Use una dirección de correo electrónico dedicada específicamente para sus compras

Cree una dirección de correo electrónico que usará solo para compras en línea. Esto limitará severamente la cantidad de  mensajes de spam  que recibe y reducirá significativamente el riesgo de abrir correos electrónicos potencialmente maliciosos disfrazados de promociones de ventas u otras notificaciones.

Administre y proteja sus contraseñas en línea

Usar contraseñas seguras y usar una contraseña diferente para cada cuenta en línea es una de las cosas más importantes que puede hacer para comprar en línea de manera segura. Puede usar un administrador de contraseñas para ayudarlo a mantener contraseñas seguras para varias cuentas.

Evite usar Wi-Fi público para iniciar sesión en cuentas en línea

Usar Wi-Fi público para iniciar sesión en una cuenta privada es un gran riesgo de seguridad, ya que los cibercriminales podrían estar secuestrando la señal Wi-Fi, o incluso configurar la suya propia para engañarlo para que la use. Algo que podría pasar es que si inicia sesión en una cuenta bancaria en línea o en un sitio web minorista, el pirata informático adquirirá su nombre de usuario y contraseña. Si necesita acceder a Internet cuando está de compras, es más seguro hacerlo a través de la red de su teléfono móvil.

Considere usar su tableta basada en Linux

Si tiene un dispositivo basado en Linux, como una tableta Samsung u otro dispositivo que ejecute el sistema operativo Linux, puede ser más seguro usarlo para transacciones en línea. También es menos probable que los iPads de Apple sean explotados mientras compra en línea, siempre que su dispositivo no haya sido liberado. Sin embargo, es importante recordar siempre evitar el uso de una red Wi-Fi pública, o existe el riesgo de que te roben las contraseñas y otros datos.

Use una VPN

Si absolutamente debe comprar en línea mientras usa Wi-Fi público, primero instale una VPN (red privada virtual). Una VPN encriptará todos los datos que se transfieren entre su computadora o dispositivo móvil y el servidor VPN, evitando que los piratas informáticos secuestren y vean cualquier información confidencial que ingrese.

Si debe comprar en línea en Wi-Fi público, use Una VPN crea una conexión encriptada entre su computadora y el servidor VPN. Piense en ello como un túnel por el que pasa su tráfico de Internet mientras navega por la web. Los piratas informáticos que acechan cerca no pueden interceptarlo, incluso si tienen la contraseña de la red Wi-Fi que está utilizando. Una VPN significa que probablemente tendrá una forma segura de comprar en línea mientras está en una red Wi-Fi pública.