Las amenazas a los modelos de negocio basados en el comercio electrónico están aumentando. En consecuencia, un equipo de investigadores financiados con fondos europeos ha desarrollado herramientas para educar mejor a los consumidores y contribuir a mejorar la seguridad y resiliencia del sector.

Seguridad

El comercio electrónico ha pasado a formar parte de nuestra vida cotidiana. El tamaño de este mercado es tal que se considera una infraestructura esencial del mercado único digital europeo.

Enfoque holístico de la seguridad del comercio electrónico

Los ecosistemas más activos económicamente siempre atraen a delincuentes y comerciantes sin escrúpulos, y el comercio electrónico no es la excepción. «Lo esencial es cómo garantizar la confianza», explica el coordinador del proyecto ENSURESEC, Luís Sousa, de INOV (Portugal). «Para ello era necesario generar confianza entre todos los agentes de comercio electrónico, incluidos distribuidores de programas informáticos, operarios de comercio electrónico, proveedores de servicios de pago, empresas de reparto y clientes». Sousa y sus compañeros sintieron que lo que faltaba era un enfoque holístico de la protección del sector al completo. Este fue el punto de partida del proyecto ENSURESEC.

Mapeo de los activos físicos y cibernéticos críticos

El equipo del proyecto comenzó mapeando los activos más críticos del comercio electrónico: los servidores, los camiones de reparto, los sitios web de comercio electrónico, etc. A continuación, valoraron la interconexión entre estos activos para identificar las amenazas y vulnerabilidades clave. «Hemos construido una base de conocimientos considerable a partir de este trabajo», añade Sousa. «Esto nos permitió identificar las principales vulnerabilidades, como los programas informáticos de terceros utilizados con frecuencia por las pymes». Se trata de una vulnerabilidad que, a menudo, intentan aprovechar los delincuentes. Otro factor de riesgo clave está relacionado con la vulnerabilidad humana. Por ejemplo, los delincuentes pueden hacerse pasar por marcas conocidas e invitar a los clientes a hacer clic en un vínculo falso o distribuidores sin escrúpulos pueden engañarles con reseñas falsas.

Formación de los consumidores sobre sensibilización en línea

Para abordar estas preocupaciones, el proyecto se propuso desarrollar soluciones técnicas y también centradas en los clientes. «Pusimos en marcha una campaña de formación y sensibilización para abordar el llamado “factor humano”», comenta Sousa. «Queríamos ayudar a los consumidores a identificar y evitar no solo los intentos de suplantación de identidad y otras amenazas comunes de ingeniería social, sino también prácticas poco éticas. Si podemos educar mejor a los ciudadanos para que identifiquen y respondan a las amenazas, entonces todo el sistema de comercio electrónico se volverá más resiliente». Desde entonces se ha lanzado un sitio web específico centrado en los consumidores con consejos y vídeos de sensibilización. Este recurso es gratuito y está disponible actualmente en seis idiomas.

Un juego de herramientas integral para la seguridad del comercio electrónico

En el plano técnico, el equipo del proyecto desarrolló una plataforma integrada de herramientas para evitar, controlar, valorar y mitigar vulnerabilidades y amenazas clave identificadas en infraestructuras críticas de comercio electrónico. Estas incluyen herramientas que revisan los sistemas comprobando si se produjeron errores durante la fase de diseño, así como otros sistemas que mapean todos los activos cibernáuticos, físicos y humanos para informar a los usuarios sobre riesgos potenciales. Existen asimismo tecnologías que contribuyen a valorar la madurez de las organizaciones de comercio electrónico en materia de prácticas de seguridad. Además, se diseñaron unas diecinueve herramientas para supervisar las interacciones entre los servidores, los ordenadores y los activos físicos, y responder en caso de incidencias. Por ejemplo, estas pueden proporcionar a los usuarios una lista de medidas de mitigación sugeridas. La plataforma es modular, de modo que los usuarios pueden seleccionar las herramientas y la configuración que más se adaptan a sus necesidades. La solución de ENSURESEC se puso a prueba en tres casos de uso diferentes centrados, respectivamente, en ciberataques en una gran plataforma de comercio electrónico para minoristas, ataques físicos en una cadena de suministro farmacéutico en línea y ataques ciberfísicos contra un banco que proporciona servicios de pago en línea. El equipo del proyecto también formuló recomendaciones políticas para ayudar a los legisladores a garantizar que la confianza se encuentre en el centro de las normativas que regulan el comercio electrónico. De cara al futuro, Sousa y sus compañeros pretenden afinar algunas de estas herramientas para que la plataforma esté más preparada para su comercialización. La idea es garantizar que este recurso sea completamente accesible para las pymes.

Palabras clave

ENSURESEC, comercio electrónico, consumidores, cibernáutico, seguridad del comercio electrónico, ciberataque, en línea, suplantación de identidad,