cms-joomla-wordpress-drupal-magento2

Si eres el administrador de un sitio de comercio electrónico y tienes instalado un sistema de gestión de contenidos (Content Management System – CMS) en el cual se aceptan pagos con tarjeta, puedes estar en riesgo y no lo sabes.

Conforme con diferentes investigaciones llevadas a cabo por la empresa de seguridad Sucuri, los ataques contra plataformas CMS de comercio electrónico (tales como Magento o Prestashop y diferentes complementos de e-commerce para WordPress (WooCommerce) y Drupal (DrupalCommerce)) se han incrementado notablemente, focalizándose en la extracción no autorizada de datos de tarjetas de pago y credenciales de acceso empleados por los clientes.

Gráfico de distribución de CMS afectados por malware (fuente: Sucuri)

Lamentablemente, muchos de los comercios afectados (que por lo general no cumplen con los requerimientos de PCI DSS) no se dan cuenta del ataque sino hasta mucho tiempo después, permitiendo que los delincuentes extraigan datos confidenciales durante un lapso lo bastante largo para que sus ataques sean fructíferos en términos económicos.

Entre los diferentes tipos de ataques a estas plataformas de comercio electrónico se encuentran los siguientes:

No hay una plataforma CMS de comercio electrónico mejor que otra en términos de seguridad. Muchas veces todo depende de cómo esté configurado el sistema, la instalación de actualizaciones y controles adicionales. Por ello, desde PCI Hispano invitamos a nuestros lectores a implementar las siguientes recomendaciones desde la perspectiva de PCI DSS con el fin de no ser víctima de este tipo de ataques:

  1. Emplear de forma exclusiva centros autorizadores (empresas que se encargan de confirmar si los datos de tarjeta enviados por el cliente son válidos y gestionar el cobro) homologados por PCI DSS
  2. Analizar la forma como se capturan y envían los datos de tarjeta de pago a dicho centro autorizador (empleando un iFrame, a través de POST, usando una API o JavaScript, etc.)
  3. Dependiendo de este método de captura y envío de datos, proceder con el despliegue de controles y reporte de cumplimiento de PCI DSS en función del Cuestionario de Auto-Evaluación relacionado. Puedes encontrar más información en el artículo “¿Quieres poner en marcha o tienes una tienda online? Sigue estos consejos para cumplir con PCI DSS
  4. Si aplica a tu entorno, realizar los escaneos trimestrales de ASV conforme con el estándar PCI DSS

De forma adicional al cumplimiento normativo, a continuación listamos una serie de controles que optimizarán los niveles de seguridad de tu sitio web de comercio electrónico y – por ende – la confianza de tus propios clientes:

  • NUNCA almacenes datos de tarjetas de pago si no los necesitas
  • NUNCA almacenes los datos confidenciales de autenticación (CVV2) después de una transacción
  • Actualizar de forma constante los componentes de la plataforma de comercio electrónico (incluyendo plugins y extensiones), comprobando que las actualizaciones provienen directamente del fabricante (no instalar actualizaciones o mejoras publicadas en sitios web no confiables)
  • Utilizar contraseñas robustas para el acceso a las consolas de administración de la plataforma
  • Emplear controles adicionales como CAPTCHA para evitar ataques automatizados que buscan acceso no autorizado con credenciales débiles
  • Hasta donde sea posible, emplear controles de acceso multifactor (por ejemplo Google Authenticator o Authy) para los accesos administrativos a la plataforma. Esto con el fin de prevenir que si las credenciales de acceso han sido vulneradas (nombre de usuario y contraseña), el atacante pueda ingresar al sitio web únicamente con esos datos.
  • Utilizar HTTPS en tu sitio web (con soporte para TLS 1.2, preferiblemente)
  • Cambiar la configuración por defecto y fortalecer la seguridad del CMS que estás usando:
  • Realizar copias de seguridad (backup) de tu sitio web de forma periódica. Sin embargo, ten presente que si tu sitio web es comprometido, muy seguramente las copias de seguridad que hayas realizado desde el momento del incidente también puedan estar comprometidas
  • Usar controles de seguridad adicionales para comercio electrónico – tales como 3D-Secure – con el fin de minimizar el uso fraudulento de tarjetas
  • Monitorizar todos los pedidos realizados en tu tienda y mantener un inventario de todas las órdenes de compra generadas, para detectar potenciales comportamientos anómalos (por ejemplo: múltiples intentos de compra de un mismo producto con diferentes tarjetas de pago en un umbral de tiempo muy corto, múltiples compras por cantidades menores con una única tarjeta, diferentes productos facturados a un mismo cliente pero pagado con diferentes tarjetas, productos enviados al extranjero comprados con tarjetas locales, etc.)
  • Tener a la mano los datos de contacto de tu centro autorizador, banco y de las marcas de pago por si eres víctima de un ataque y crees que tienes datos de tarjetas de pago comprometidas

Si adicionalmente cuentas con acceso al sistema operativo del servidor, puedes usar estos otros controles (o pedirle a tu proveedor que los implemente):

Ten presente que la seguridad no es una tarea al margen. Se trata de una actividad continua que requiere tiempo, personal y presupuesto, por lo que hay que tomársela de forma seria y más cuando tus clientes están depositando su confianza (y sus datos de tarjetas de pago) en tu sitio web.