¿Qué es la seguridad de las transacciones?
La seguridad de las transacciones, también conocida como seguridad de pagos, se refiere a una categoría de prácticas, protocolos, herramientas y otras medidas de seguridad empleadas durante y después de las transacciones comerciales para proteger la información confidencial y garantizar la transferencia segura de los datos de los clientes.
Si bien las transacciones en línea plantean desafíos únicos para la seguridad de las transacciones, son fundamentales para las empresas tanto en línea como fuera de línea para generar confianza en los consumidores, mitigar el fraude y mantener el cumplimiento normativo.
Al coincidir con el auge acelerado del comercio electrónico y las transacciones en línea, la seguridad de las transacciones se convirtió en una preocupación importante para cualquier empresa que maneje pagos y la transferencia de activos valiosos, como las instituciones financieras, las casas de bolsa de criptomonedas y las tiendas minoristas. Otros casos de uso incluyen los mercados de videojuegos en línea, los métodos de pago alternativos como ApplePay y Venmo, y cualquier servicio responsable de procesar documentos legales confidenciales (como servicios de declaración de impuestos en línea o varias oficinas de gobierno oficiales).
Para evitar pérdidas financieras que resulten de transacciones fraudulentas y proporcionar una experiencia de usuario confiable para los clientes que compartan sus datos personales, las medidas comunes de seguridad de transacciones incluyen el cifrado de datos moderno avanzado, la autenticación multifactor (MFA) y las firmas digitales. Estos protocolos de seguridad mitigan el riesgo de fraude en los pagos y el robo de datos de los clientes como resultado de una violación de seguridad, por la cual muchas empresas podrían ser legalmente responsables, dependiendo de su jurisdicción.
Si bien la mayoría de las medidas de seguridad de las transacciones se implementan durante la transacción en sí, la seguridad de las transacciones también se extiende a las políticas comerciales internas que rigen el tratamiento de cualquier dato confidencial de la transacción almacenado por una organización o empresa, como números de tarjetas de crédito y números de cuenta. Para los profesionales de ciberseguridad que invierten en seguridad de bases de datos, la seguridad de las transacciones significa no solo monitorear las transacciones en línea en tiempo real para detectar actividades sospechosas y transacciones no autorizadas, sino también identificar y mitigar de manera proactiva cualquier vulnerabilidad de seguridad interna. Los proveedores de servicios de sistemas de seguridad de transacciones modernos a menudo incorporan una funcionalidad de notificación personalizable y otra automatización para facilitar las transacciones seguras a escala.
Las últimas novedades e insights sobre IA
Descubra insights y noticias de expertos sobre IA, la nube y mucho más en el boletín semanal Think.
Las amenazas a la seguridad de las transacciones a menudo se entrelazan o contribuyen a amenazas de ciberseguridad más amplias. La siguiente es una breve lista de algunas de las amenazas de seguridad de las transacciones más frecuentes.
Las estafas de phishing, en las que los delincuentes cibernéticos utilizan mensajes fraudulentos para manipular objetivos y que revelen información confidencial, representan una amenaza tanto para los clientes como para las empresas. Las estafas de phishing a menudo se dirigen a los consumidores en un intento de robar directamente la información de su tarjeta de crédito para utilizarla en transacciones fraudulentas. También pueden dirigirse a negocios en un intento de robar información de pago de clientes de forma masiva.
Mientras que las transacciones en persona suelen requerir una tarjeta de crédito física, las realizadas por Internet o por teléfono suelen requerir únicamente un número de tarjeta de crédito. Esta laguna puede abrir las transacciones en línea o por teléfono al fraude de tarjeta no presente, en el que los estafadores emplean números robados para realizar transacciones fraudulentas. Si bien es posible que un cliente aún conserve su tarjeta de crédito física, es posible que no sepa por completo que los datos de su tarjeta fueron robados.
Otro riesgo que plantea el phishing es el fraude de apropiación de cuentas. Los estafadores pueden emplear phishing u otros medios para aprovechar el acceso no autorizado a la cuenta bancaria o de compras en línea de un consumidor y proceder a realizar compras no autorizadas.
Las estafas BEC también son una consecuencia común de los esquemas de phishing exitosos. Cuando un delincuente cibernético obtiene acceso a una cuenta de correo electrónico empresarial comprometida, puede hacerse pasar por un empleado o proveedor autorizado e intentar solicitar una transferencia bancaria fraudulenta.
Otro riesgo que resulta de los ataques de phishing exitosos es el fraude de identidad sintética (SIF, por sus siglas en inglés), un tipo de fraude en el que los estafadores emplean una combinación de información de identificación personal (PII, por sus siglas en inglés) real robada para crear identidades fabricadas para diversas actividades fraudulentas, como esquemas de incumplimiento de pago en los que un estafador compra un producto a crédito o a plazos sin intención de realizar pagos futuros.
Es una forma bien conocida de ataque cibernético, durante un ataque de intermediario (MITM, por sus siglas en inglés), un hacker se posicionará clandestinamente entre dos partes que creen que tienen una conexión privada. El atacante puede intentar manipular los datos transferidos o simplemente espiar para robar cualquier información de pago privada que se podría compartir.
Con el avance continuo de las nuevas tecnologías, así como las estrategias de ataque en constante evolución de los delincuentes cibernéticos, los expertos trabajan constantemente para mejorar la seguridad de las transacciones a través de todos los vectores disponibles. Los siguientes son algunos de los métodos más comunes para reforzar la seguridad de las transacciones:
Cifrado
La columna vertebral de la privacidad de datos, empresas y los clientes confían en el cifrado de datos para proteger la información confidencial durante y después de las transacciones. Los estándares de cifrado más comunes, como Secure Sockets Layer (SSL) y Transport Layer Security (TLS), se emplean con frecuencia durante las transacciones en línea para evitar accesos no autorizados, manipulaciones y robos.
Tokenización
La tokenización es un proceso que reemplaza los datos confidenciales de los clientes, como los números de tarjetas de crédito, con tokens únicos que no se pueden usar para realizar transacciones fraudulentas ni realizar ingeniería inversa de la información de pago original. Luego, estos tokens se utilizan para hacer referencia a la información de pago original, que se almacena en una bóveda de tokens segura. La tokenización reduce el riesgo asociado con las filtraciones de datos y simplifica el cumplimiento normativo, ya que los tokens en sí son inútiles, incluso si caen en las manos equivocadas.
Autenticación
Como forma fundamental de seguridad de las transacciones, las prácticas de autenticación son anteriores a la era del Internet. Mientras que en el pasado un comerciante podía solicitar una identificación con fotografía antes de aceptar un cheque personal, las medidas modernas de autenticación digital aumentaron en sofisticación. La autenticación de factor único (SFA, por sus siglas en inglés) requiere una forma de identificación, como una contraseña o un pin; la autenticación de dos factores (2FA, por sus siglas en inglés) requiere formas adicionales de identificación, como un código de acceso único enviado a un dispositivo registrado o correo electrónico. Otros métodos de autenticación estándar incluyen requerir un valor de verificación de tarjeta (CVV, por sus siglas en inglés) para pagos con tarjeta de crédito y autenticación biométrica (como reconocimiento facial o escaneo de huellas digitales).
Puertas de enlace de pago seguras
Las puertas de enlace de pago seguras son una parte crucial para establecer una seguridad de las transacciones sólida y generar y mantener la confianza del cliente. Estas puertas de enlace permiten el procesamiento de transacciones entre el cliente, la empresa y el procesador de pagos o el banco adquirente. Las puertas de enlace de pago seguras a menudo combinan varias técnicas de seguridad de transacciones, incluido el cifrado, la tokenización y la autenticación, para garantizar la seguridad de los datos.
La Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de normas de seguridad de transacciones desarrolladas por Payment Card Industry Security Standard Council (PCI SSC), un foro mundial de stakeholders de la industria de pagos.
Desarrollada para impulsar la adopción de normas y recursos de seguridad de datos para safer payments en todo el mundo, el cumplimiento de PCI DSS ayuda a las empresas a cumplir con los requisitos normativos mientras mantienen seguros los datos de los clientes.
Para cumplir con la PCI DSS, las empresas deben hacer lo siguiente:
- Construir y mantener una red y sistemas seguros: Instale y mantenga una configuración de cortafuegos para proteger los datos de los titulares de tarjetas. Evite emplear los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Proteger los datos del titular de la tarjeta: Cifre la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
- Mantener un programa de gestión de vulnerabilidades: Desarrolle y mantenga sistemas y aplicaciones seguros y proteja todos los sistemas contra malware con software o programas antivirus actualizados regularmente.
- Implementar medidas estables de control de acceso: Identifique y autentique el acceso a los componentes del sistema. Restrinja el acceso físico e interno a los datos de titulares de las tarjetas según los requisitos de necesidad de saber basados en el negocio.
- Monitorear y poner a prueba las redes con regularidad: Realice un seguimiento y monitoree todo el acceso a los recursos de la red y a los datos de los titulares de tarjetas con pruebas periódicas de los sistemas y procesos de seguridad.
- Mantener una política de seguridad de la información: Mantenga una política que aborde la seguridad de la información para todo el personal.