Guías de Ciberseguridad Piensa Digital: los peligros para las pymes y los e-commerce

Hoy los ciberengaños son casi tan comunes como los “me gusta” en redes sociales. Hay usuarios que los esquivan casi profesionalmente, mientras que otros, a veces faltos de práctica y confiados en las promesas de oro que se encuentran en la red, caen en las redes de quienes emplean sus armas.

Los ciberdelincuentes, con maniobras sigilosas -a ratos oscuras, pero también de lo más comunes- ponen sus trampas en cada rincón de internet apuntando a todos los usuarios, sean cibernautas o pequeños comercios.

En ese amplio campo, las pequeñas empresas son como peces que creen vivir en un espacio seguro, bajo las reglas de sus dominios y sus plataformas de venta en línea. Pero, en verdad, están ante un océano cibernético repleto de tiburones codiciosos.

Información y credenciales están entre los bienes digitales más codiciados por estos delincuentes. Correos electrónicos que parecen inofensivos, solicitudes de contraseña sospechosas o mensajes solicitando códigos de confirmación son algunas de las principales tácticas de la denominada “ingeniería social”, en la que aún cae mucha gente. Pero ojo: esto también sucede en las grandes firmas.

Las pequeñas empresas y los comercios electrónicos son objetivos comunes para estas estafas, debido a que pueden tener recursos limitados para implementar medidas robustas de seguridad.

El phishing sigue siendo una de las principales estrategias de los ciberdelincuentes. En completa coordinación, envían una serie de correos electrónicos o mensajes falsos que parecen provenir de fuentes legítimas, como bancos, proveedores de servicios o plataformas de comercio electrónico. Todo pensando en cómo camuflar una mentira. Estos mismos mensajes suelen solicitar información personal y credenciales de inicio de sesión para poder confirmar la identidad o detalles de tarjeta de crédito.

En el contexto de una pequeña empresa, o para quienes decidan incursionar en el comercio electrónico, se debe de tener en cuenta de la relevancia de informar y educar a los propios empleados y clientes con respecto a cómo identificar estos tipos de correos electrónicos fraudulentos.

A los colaboradores se les debe solicitar no abrir mensajes sospechosos con las credenciales de la empresa, además de confirmar y contrastar las direcciones de quien envía. Tampoco abrir enlaces ni descargas adjuntas.

Manteniendo estas mismas medidas, hay que resguardarse de los ransomware que grupos o cibercriminales particulares diseminan en la red y cuyos “gatillos” adjuntan en ocasiones en correos electrónicos.

Con estos, los delincuentes infectan los sistemas y cifran archivos y datos, para así “secuestrarlos” y exigir un rescate a cambio de facilitar una clave y entregarlos.

La ingeniería social en sí puede resultar, considerando toda la tecnología existente, algo ya de antaño, pero que sigue surtiendo efecto. Los mismos estafadores se hacen pasar por empleados, proveedores o clientes del comercio para así conseguir información confidencial o incluso hacer transferencias bancarias. Pueden sustraer datos de las redes sociales de la empresa, pero también de colaboradores y, con eso, hacer engaños mucho más creíbles.

Ante esto, idealmente la interacción con los usuarios a través de las redes se debe dar en una comunicación privada y toda información que no corresponda a productos o valores, debe de ser reducida al mínimo. También se debe generar conciencia entre los colaboradores sobre la importancia de no entregar material que pudiera ser de riesgo.

Siempre hay que mantener un estado de alerta con respecto a la información que se entrega, pero también a la que se recibe. Particularmente, cuando se trata de pequeños negocios, pueden verse afectados por falsas órdenes de compra. En estas, los criminales o estafadores hacen grandes pedidos con tarjetas de crédito que han sido robadas o falsificadas. Luego, solicitan el envío y, una vez realizado, saltan las alarmas de pago fraudulento.

Cuando se trata de grandes órdenes de productos, se deben establecer especialmente políticas de verificación, ya sean para tarjetas de crédito o incluso sistemas de detección de fraude. Lo importante, es también tomar precauciones con medidas que permitan anular los despachos o la cancelación de la compra.

Así como existen plataformas que facilitan al cliente la devolución de un producto en caso de recibir otro o el reembolso, hay que tener especial cuidado con los pagos.

En ocasiones, los delincuentes, habiendo estudiado a la pequeña empresa y la información personal que los colaboradores ponen en las redes, realizan ataques de suplantación. Esto puede darse en distintos niveles. Por ejemplo, de los propios pares colaboradores, como también del propietario.

Sabiendo flujos, ausencia de las jefaturas u horarios, pueden solicitar transferencias de dinero urgentes a cuentas fraudulentas. En estas situaciones, es importante también tener medidas claras para autorizar depósitos o traspasos que cuenten con diversas verificaciones, pero también habilitar canales de comunicación más fluidos.

Considerando además que se trata de locales o comercios con poco personal, o en los que la comunicación puede no ser tan constante, los estafadores pueden de aprovechar esa situación y hacerse pasar por especialistas de soporte técnico. Los colaboradores, o quien esté de turno en ese momento, al no estar capacitado o al tanto de una supuesta visita o solicitud de credenciales, pueden caer ante el temor de negar la información.

Estas personas contactan a la empresa, a veces comentan que existen ciertos desperfectos en los sistemas y piden acceso remoto y así sustraen información confidencial o sensible.

Para prevenir situaciones de este tipo, es importante, al igual que con los ataques de suplantación, mantener canales de comunicación constante y abierta con el equipo de la empresa, para así estar atentos a cuándo debieran de efectuarse visitas o solicitudes de esta índole.