Guía básica de ciberseguridad para empresas de comercio electrónico

La ciberseguridad para empresas de comercio electrónico es una necesidad poco valorada pero muy real. Te contamos las claves principales.
cibercriminal con un computador en mano y elementos representativos de la Guía básica de ciberseguridad
25 de marzo, de 2024
Copiar enlace

La ciberseguridad para empresas de comercio electrónico (y de cualquier otro sector, dicho sea de paso) se ha convertido en una prioridad ineludible, ya que se trata del riesgo más importante al que te enfrentas si te dedicas al eCommerce, al comercio físico o (por ejemplo) a la producción de huevos fritos envasados al vacío, negocio este último que, al parecer, tiene un brillante futuro. Sobre la calidad de ese futuro, mejor no hablamos que se me ha acabado el Almax.

El futuro está en los huevos

La ciberseguridad para empresas no depende del tamaño

Pero si hablamos de ciberseguridad para empresas de comercio electrónico, no hablamos de futuro sino de presente, y muy presente. La cosa es simple: si el negocio deja de ser físico para ser online, los delincuentes hacen lo mismo. Menos riesgo para su integridad física, más facilidad para cubrir el rastro y en lugar de robar en tiendas de una en una lo pueden hacer de cien en cien, y además en todo el mundo. Por eso, los ciberataques se han convertido en el riesgo nº 1 para cualquier empresa, sea del tamaño que sea. 

Insisto en esto del tamaño porque una idea muy extendida es la de “nosotros somos demasiado pequeños para despertar el interés de los ciberdelincuentes”. Imagino que quien piensa así, si tiene un negocio físico, prescindirá de gastar dinero en alarmas, rejas, cámaras de seguridad o lo que sea. Total, si mi tienda es pequeña nadie va a querer robarme, ¿no?

Cuando hablamos de ciberriesgos todos nos imaginamos una escena como la que aparece en las películas o series de televisión: Una organización con un nombre tipo SPECTRA o algo así, en la que un grupo de hackers vestidos de negro y con gorros de lana se sientan delante de unos equipazos de la muerte con 6 pantallas mientras teclean frenéticamente líneas de código hasta que uno de ellos dice ¡Estoy dentro! y transfiere 10.000 millones de dólares a una cuenta en un banco de Kuala Lumpur para después dejarlo todo y salir corriendo en un coche de alta gama, perseguido por un pseudo James Bond en las calles de París. No seré yo quien afirme que esas organizaciones no existen, pero desde luego que el 99% de los ciberdelincuentes no tienen ese perfil. 

Por cierto, ¿alguien puede explicarme por qué los ordenadores en las películas hacen ruiditos que los ordenadores reales dejaron de hacer hace décadas? ¿Es que todos los directores de cine se han quedado anclados en los 80?

Aquí unos hackers estereotipados, aquí unos amigos

Pero volviendo a lo que nos ocupa: según un informe de la consultora Deloitte, el 94% de las empresas españolas sufrieron al menos un ciberataque grave en 2021, y el 64% dos o más. Otro informe de la aseguradora Hiscox cifra el coste medio de cada ciberataque en 2021 en más de 100.000 euros. Ten clara una cosa: un ciberataque que tenga éxito puedo llevar a tu negocio a la ruina.

Para  mayor claridad vamos a dividir este (largo) artículo en tres partes, a saber:

Vamos, nunca mejor dicho, al turrón.

Principales riesgos de ciberseguridad para empresas de comercio electrónico (o de huevos fritos)

Antes de enumerar los riesgos, vamos con un principio fundamental: la inmensa mayoría de los ciberataques se deben a descuidos y son, por lo tanto, evitables. No, no es que los cibercacos entren en tus ordenadores por la fuerza bruta, es que generalmente eres tú quien les deja la puerta abierta.

Si hablamos de ciberseguridad para empresas, lo primero que piensas es: “virus”. Vale. Pues ni todos los ciberataques son virus ni todos los virus hacen lo mismo.

Para saber cuáles son los riesgos de ciberseguridad para empresas, tenemos que empezar por conocer los tipos principales de ataques. Aquí va una breve lista:

  1. Suplantación de identidad
  2. Secuestro de datos: ransomware
  3. Ataques de denegación de servicio
  4. Robo de datos o información confidencial
  5. Toma de control de tu web
  6. Robo o secuestro de cuentas en redes sociales
  7. Y muuucho más, pero ya no tan común en las pymes

1. Suplantación de identidad.

Son probablemente los más conocidos. No hay empresa en este país que no reciba un intento de ataque de este tipo por lo menos una vez por semana. Comenzaron con el phishing: correos electrónicos que simulan ser de una entidad, banco o empresa y que nos indican que debemos hacer clic en un enlace o descargar un archivo adjunto. Ahora han evolucionado y este tipo de ataques se reciben también por SMS (smishing) o mediante una llamada telefónica (vishing). Muchos son muy burdos y se lanzan masivamente para ver si pica alguien, pero si el ciberdelincuente tiene los datos de tu empresa y se ha estudiado un poco tu perfil el riesgo es mucho mayor, ya que puede simular ser un cliente o proveedor.

Estos intentos de ataque suelen tener dos tipos de objetivos:

  • Robo directo: Quieren engañarnos para que paguemos una pequeña cantidad para recibir un envío pendiente (cuando simulan ser de Correos u otra mensajería) o cantidades más grandes cuando simulan ser Hacienda, la Seguridad Social o incluso un proveedor.
  • Robo de contraseñas: Cuando simulan ser nuestro banco y nos alertan de un bloqueo de nuestra cuenta por un problema de seguridad. Además de las entidades bancarias, también pueden simular ser Amazon o cualquier otra empresa en la que tengamos una cuenta abierta y cuya contraseña tenga valor.

2. Secuestro de datos: ransomware.

Uno de los grandes quebraderos de cabeza en materia de ciberseguridad para empresas es el ransomware. Se trata de un software (sí, un virus) que, una vez ha entrado en nuestro sistema, “secuestra” toda la información encriptando los archivos y pidiéndonos que paguemos un rescate por desencriptarlos. El ransomware puede infectar a todos los ordenadores conectados en la red de la empresa y además puede propagarse por correo electrónico utilizando nuestras propias cuentas y el archivo de contactos. Es un tipo de ataque que usa un software más sofisticado, pero que no por ello está fuera del alcance de los pequeños delincuentes (el software malicioso se compra al kilo en el mercado negro).

El gran problema del ransomware es su naturaleza viral. Es decir, que el correo electrónico con el archivo o link malicioso puede proceder de alguien de nuestra absoluta confianza.

3. Ataques de denegación de servicio.

El riesgo de ciberseguridad para empresas de comercio electrónico por excelencia: que tiren abajo tu web. Un ataque de denegación de servicio tiene como objetivo bloquear una web o un servidor con un gran número de peticiones de acceso simultáneas. Esas peticiones pueden venir desde un solo ordenador (ataques DoS, de Denial of Service) o, lo que es más común, de muchos ordenadores distribuidos, infectados previamente con un virus (ataques DDoS, de Distributed Denial of Service).

Su objetivo no es económico, sino causar el mayor daño posible, ya que la empresa que lo sufre no puede prestar el servicio online y defenderse de este tipo de ataques cuando ya han conseguido echar abajo un servidor lleva tiempo. Las tiendas online son un objetivo claro, bien por parte de competidores con pocos escrúpulos o de hackers que quieren causar un daño reputacional.

4. Robo de datos o información confidencial

Las empresas que manejan bases de datos de clientes, especialmente si son datos personales, o tienen información confidencial de valor (como diseños, procesos industriales, etc.) son la diana de este tipo de ataques. Normalmente se producen mediante el uso de malware (de nuevo, virus; el correo electrónico es la vía principal) o ‘reventando’ las contraseñas de acceso al sistema en lo que se conoce como ‘ataques de diccionario’. En este tipo de ataques los ciberdelincuentes son sigilosos, puesto que su objetivo es el robo de la mayor cantidad posible de datos sin que se note. 

En el caso de los robos de datos de carácter personal, ten en cuenta que tienes la obligación de notificarlo inmediatamente  a la Agencia Española de Protección de Datos y a las personas afectadas para que puedan tomar medidas. Además, la AEPD abrirá una investigación y si concluye que ha habido alguna negligencia por tu parte en la protección de esos datos te caerá una multa que puede llegar a poner en riesgo la supervivencia de tu negocio. Poca broma con esto.

5. Toma de control de tu web.

Algo que si te dedicas al eCommerce es o una catástrofe, o una desgracia. Para tomar el control de tu web han tenido que averiguar tu usuario y contraseña de acceso. O bien hacerlo con el servidor en el que está alojada, algo bastante menos probable. Para conocer tus contraseñas se pueden usar virus, cierto, pero para qué molestarse cuando hay tantísima gente que usa como nombre de usuario “Admin” y como contraseña “123456*” o aberraciones similares. Luego te cuento más, pero créeme si te digo que en la mayoría de los casos de robos de contraseñas ha habido, cuando menos, cierta negligencia en la creación y administración de las mismas.

6. Robo o secuestro de cuentas en redes sociales.

Con respecto a las contraseñas de acceso, todo lo del punto anterior es aplicable. Eso de “Noooo, quien ha publicado ese comentario machista/homófobo/racista (táchese lo que no proceda) no he sido yo, es que me han hackeado la cuenta de Twitter” NO cuela. Por supuesto que te pueden robar el acceso a tu cuenta en cualquier red social… si te roban la contraseña de esa red o la de la cuenta de correo electrónico que usas para recuperar contraseñas olvidadas. Pero no te van a hackear la cuenta para poner un tuit que nunca debiste escribir y luego devolvértela alegremente. Así que si metes la pata en las redes no uses el hackeo como excusa o aún quedarás peor. 

La contraseña de tus redes sociales también pueden intentar robártela desde la propia red social. Diariamente surgen como setas cuentas falsas que se hacen pasar por administradores de Instagram, Facebook, etc. El truco es simple: recibes un mensaje privado de una cuenta que se llama, por ejemplo, “Seguridad de Instagram” que dice que tu cuenta va a ser bloqueada si no sigues unos pasos de verificación haciendo clic en un enlace que te lleva a una web aparentemente igual a la de Instagram en la que tienes que introducir tus datos de acceso y ¡zas! cuenta secuestrada. Normalmente te pedirán un rescate para liberarla. Adelanto: NO pagues.

7. Y muuucho más, pero ya no tan común en las pymes.

Obviamente estas no son todas las posibles amenazas de ciberseguridad para empresas. Hay ciberataques mucho más sofisticados: inyección de código malicioso (HTML, PHP y muchos otros), inyección de SQL, virus de todo tipo: troyanos, gusanos, bombas lógicas… y mucho más. No es habitual que este tipo de ataques se dirijan de forma específica a las pequeñas empresas. Más bien se trata de virus que se difunden con el propósito de causar un daño general, lo que no deja de ser una forma de ciberterrorismo (muchas veces aprovechando vulnerabilidades de los sistemas operativos o del software que tengas instalado) y cuando se utilizan de forma dirigida a un objetivo concreto, éste suele ser un pez más gordo.

Medidas básicas de ciberseguridad para empresas

Decir: “Yo ya estoy protegido porque tengo un antivirus” es ser tan inocente como pensar “no van a entrar a robar en mi casa porque tengo una puerta blindada”. Obviamente, tienes que tener un antivirus sí o sí, y además uno completo y actualizado, lo que elimina a muchas de las opciones gratuitas. Pero lo más importante de todo es que tengas una política de ciberseguridad estricta, o ni el mejor antivirus del mundo evitará que sufras un ciberataque.

El principio básico de la ciberseguridad para empresas es que el riesgo cero no existe. Partiendo de ahí, añádele una segunda parte: No te fíes ni de tu sombra. La dejadez, el descuido y/o el exceso de confianza están en el origen de muchos ciberataques.

¿Y en qué consiste una estrategia de ciberseguridad para empresas? En tener unas reglas básicas que nadie, y con esto quiero decir nadie, debe saltarse jamás. Veamos cuáles son:

  1. Crea una política de contraseñas
  2. Cambia la URL de acceso por defecto a tu web, por lo que más quieras
  3. TODOS los correos electrónicos con links o archivos adjuntos deben ser verificados
  4. Destruye los datos en papel que vayan a la basura
  5. Los ordenadores y móviles de trabajo son para trabajar y nada más
  6. Ten siempre el sistema operativo y el software actualizado
  7. Ojo con los permisos de las apps móviles
  8. Las copias de seguridad deben estar en un lugar seguro
  9. ¿Pendrives? No, gracias
  10. Ojo con las WiFis
  11. La ciberseguridad para empresas debe estar organizada en capas
¿Habéis cambiado las contraseñas? -Calla y sonríe, Martínez.

1. Crea una política de contraseñas

Una contraseña sencilla es muy fácil de robar o averiguar, mientras que una contraseña segura es díficil de recordar. Así que recurrimos al peor enemigo de la ciberseguridad para empresas: el post-it pegado en la pantalla o cualquiera de sus variantes modernas (por ejemplo, pedir al navegador que recuerde usuario y contraseña). Tener una contraseña a la vista de cualquiera en una oficina es una invitación muy tentadora. “Ya, pero la gente que entra en la oficina es de confianza”. También tenían mucha confianza los ingenieros del Titanic y mira cómo acabó. Eso sí, nos regaló una fuente inagotable de memes gracias a la peli.

“Tranquilos, este barco es insumergible”

Las contraseñas tienen que cumplir estos requisitos:

  • Ser distintas para cada aplicación crítica (incluidas las redes sociales)
  • Cambiar con frecuencia (idealmente una vez al mes)
  • Ser un aparente galimatías. Nada de cumpleaños, cumpleaños al revés, matrículas de coche, el nombre de tu perro… de hecho, no deben tener ninguna palabra reconocible ni secuencia de números que se pueda relacionar con el propietario de la contraseña.
  • Ser únicas para cada usuario. No se deben compartir contraseñas de acceso entre varias personas.
  • Ser privadas. El administrador del sistema no debe conocer ni tener acceso a las contraseñas de los usuarios. En caso de olvido, el sistema debe ser capaz de generar una nueva contraseña.
  • Recordarse de memoria. No debe existir ningún almacén de contraseñas, ni en papel ni en un archivo informático por muy encriptado que esté. Simplemente porque si consiguen reventar la contraseña de acceso a ese fichero, quedan todas al descubierto.

Vale, y cómo narices hago para recordar no una, sino diez contraseñas que son un galimatías, te estarás preguntando con toda la razón. Pues recurriendo a reglas criptográficas.

Maaarchando una de criptografía.

No, no me refiero a que te hagas con una máquina Enigma. Pero el arte de la criptografía lleva milenios utilizándose para cifrar textos. Desde luego, puedes recurrir a software de cifrado, certificados digitales, etc, pero aquí van un par de ejemplos caseros. Y gratis.

Vamos a utilizar como contraseña “HUEVOS ENVASADOS”.

Paso 1: Como las contraseñas tienen que tener números, letras y caracteres especiales para ser consideradas seguras, lo primero que vamos a hacer es cambiar la agrupación de las letras. Como tiene 15 letras, creamos tres grupos de 5. Es decir, que HUEVOS ENVASADOS se convierte en HUEVO SENVA SADOS

Paso 2: Introducimos caracteres especiales, los que queramos, en los espacios. Esos no los vamos a cifrar. Añadimos un número al final, que tampoco ciframos. Con esto nos quedaría algo así: HUEVO%SENVA_SADOS1

Paso 3: Utilizamos cualquier tipo de cifrado para cambiar las letras. Por ejemplo, podemos usar el cifrado del César, consistente en sustituir cada letra por otra que ocupa X posiciones más en el alfabeto. Usando un cifrado del César en el que X=2, nos sale que HUEVO%SENVA_SADOS1 se convierte en JWGXQ%UGPXC_UCFQU1

Por supuesto, esto tiene un fallo: es un cifrado muy fácil de romper, porque cada letra original tiene siempre el mismo equivalente cifrado. Voy a usar otro método sencillo, pero subiendo un escalón. Pista: También es un método de sustitución alfabética. Con este método, HUEVO%SENVA_SADOS1  se convierte en IWHZT%TGQZF_TCGSX1. Aquí cada letra de texto original no se corresponde con la misma del texto cifrado. Ahora que sabes de qué vá, seguro que descifras el método utilizado sin problema. Te invito a resolverlo (Alan Turing ya lo habría resuelto al llegar a esta parte del párrafo). La idea no es que tus contraseñas resistan los ataques de criptógrafos de la CIA, sino que simplemente lo pongas un poco más complicado, lo suficiente para que el potencial ladrón busque otra víctima.

La idea es sencilla: puedo crear contraseñas aparentemente aleatorias partiendo de palabras que yo recuerde con facilidad, y eso me permite tener contraseñas distintas para cada uno de los sistemas o aplicaciones clave a los que puedo acceder. ¿Y eso por qué? Pues porque usar la misma contraseña para todo, o variantes de ella, es EL MAL. El infierno de la ciberseguridad para empresas se estremece con los lamentos desgarradores de quienes creyeron que si la contraseña es segura, se puede usar en todas partes.

No me acuerdo si usé el cifrado del César o la esteganografía de Tritemio!

Aparte de lo dicho, activa siempre la autenticación en dos pasos siempre que exista esa opción. No es infalible, pero añade una nueva capa de seguridad a tus contraseñas.  Y si puedes sustituir contraseñas por datos biométricos como la huella dactilar, aún mejor. Siempre pueden cortarte un dedo, eso sí.

2. Cambia la URL de acceso por defecto a tu web, por lo que más quieras

Si tu web tiene el dominio huevosenvasados.com, está en WordPress y tu tienda en Prestashop, la URL de acceso al back office será huevosenvasados.com/wp-admin o /wp-access. Pero esa URL puede cambiarse y convertirse en, por ejemplo, huevosenvasados.com/alricohuevo.  Con algo tan simple ya se lo pones más complicado a los visitantes con intenciones aviesas y/o pérfidas.

3. TODOS los correos electrónicos con links o archivos adjuntos deben ser verificados

Eso incluye también a los mensajes privados en redes sociales, los SMS y servicios de mensajería como WhatsApp, aunque aparentemente vengan de un usuario de confianza o un compañero de trabajo. Sobre todo si tienen un enunciado genérico del tipo “¿Has visto esto?” ,”Factura impagada”, “¿Eres tú el del vídeo?”, “ALERTA: Cuenta comprometida” o cualquier otra cosa que no estemos esperando que nos manden. Ninguna entidad oficial, ningún banco, ninguna empresa grande nos va a enviar un correo electrónico con un link en el que haya que meter contraseñas. Siempre nos pedirán que accedamos a sus webs o aplicaciones oficiales. No olvides que el correo electrónico es la vía principal por la que se propaga el malware de todo tipo.

4. Destruye los datos en papel que vayan a la basura

Jamás te deshagas de un documento que contenga datos personales o confidenciales tirándolo a la basura sin reducirlo a confeti primero. Mucho ojo con las destructoras de documentos clásicas que hacen tiras con el papel, puesto que NO son un sistema seguro. Alguien con mucho interés y mucha paciencia podría reconstruir un documento. Le costaría, pero es posible.

5. Los ordenadores y móviles de trabajo son para trabajar y nada más

Esto es aún más importante si tienes personas teletrabajando. Nunca deben usar sus propios equipos para acceder a los sistemas de la empresa, sencillamente porque no tienes control sobre esos equipos y podrían tener más virus que tu nariz cuando estás resfriado. Si es necesario, cápalos (a los equipos, no a los trabajadores) para que sólo puedan usarse para las funciones permitidas. Es decir, en los ordenadores de trabajo no se hacen compras online, no se juega, no se entra en webs raras o sospechosas ni se consulta el correo electrónico particular.

6. Ten siempre el sistema operativo y el software actualizado

Cuanto más complejo es un programa informático, más líneas de código y más errores y vulnerabilidades tiene. Los sistemas operativos tienen, literalmente, millones de líneas de código. Por eso sacan actualizaciones con parches de seguridad con frecuencia. Tanto ordenadores como móviles deben estar siempre actualizados.

7. Ojo con los permisos de las apps móviles

Cuando descargas una app móvil súpermegacool que coge tus fotos y te convierte en un pseudoguerrero espacial mediante la IA, pregúntate para qué narices quiere conocer tu geolocalización, activar el micrófono o acceder a tu lista de contactos. Que la ansiedad por verte convertido/a en un personaje de Star Wars no te lleve a darle a “aceptar” a todo sin pensar primero. Luego, como decía mi santa madre, vienen las madresmías.

8. Las copias de seguridad (¿haces copias de seguridad diarias, verdad?) deben estar en un lugar seguro.

De hecho, si contienen datos personales, la ley te obliga a que estén en un sitio ignífugo y con control de acceso, incluso control físico si son datos de especial protección.

9. ¿Pendrives? No, gracias

Destierra el uso de pendrives de tu vida laboral. Sencillamente, no los uses. Piensa que no todos los antivirus lo detectan todo y que en algo tan inocente como un archivo de Excel puede haber un virus escondido. No sabes por qué manos ha pasado un pendrive que alguien te hace llegar “porque el archivo es muy grande”. Para eso tienes sistemas de envío de archivos grandes como WeTransfer que tienen sistemas de detección de virus que tú no te puedes permitir.

10. Ojo con las WiFis

  • Regla número uno: Si puedes usar una red de cable, no uses una WiFi. Ganarás en seguridad y también en estabilidad de la conexión.
  • Regla número dos: Revisa los puertos. No, no es que vayas a llevar un nombre tatuado en ese pecho de mujer. Me refiero a los puertos del router. Muchas veces vienen con puertos abiertos por defecto que no se usan comúnmente (como los usados para FTP) y los ciberdelincuentes lo saben y le sacan partido. Un puerto abierto es una potencial vía de acceso a tu sistema.
  • Regla número tres: Cambia el nombre por defecto de la WiFi y sigue la misma política de contraseñas de la que ya hemos hablado. No mantengas la misma contraseña de acceso a una WiFi que uses para trabajar (incluyendo el teletrabajo) durante más de un mes. Revisa a diario qué dispositivos están conectados a ella (se hace accediendo al router) y cambia inmediatamente la contraseña si detectas algún dispositivo conectado que no conoces.
  • Regla número cuatro: Nunca, jamás, uses una WiFi pública como la de un aeropuerto o una estación de tren para trabajar a no ser que no tengas más remedio. Y si tienes que hacerlo, no te conectes a sistemas clave o envíes archivos confidenciales a través de ella. En su lugar, usa la conexión de datos de tu móvil.
  • Regla número cinco: Si teletrabajas, valora conectarte al router por cable, o crea una segunda WiFi para uso exclusivo de tu trabajo. Hoy en día tenemos muchos dispositivos conectados a la WiFi doméstica que no son ordenadores o móviles: robots aspiradores, bombillas inteligentes, altavoces, TV…, y que pueden dejar puertas abiertas para que alguien acceda a tu red doméstica sin tener que despeinarse demasiado, sobre todo si su software no se actualiza con frecuencia.

11. La ciberseguridad para empresas debe estar organizada en capas

Como una cebolla. El antivirus es una de esas capas, pero no la única. Hay muchas otras aplicaciones y recursos de ciberseguridad, pero este es un principio básico. No todas las capas en la ciberseguridad para empresas deben ser de software. Las capas físicas (dónde se guardan según qué cosas y quién puede acceder a ellas, por ejemplo a los servidores) son igual de importantes y a veces son las más difíciles de romper. Tampoco se trata de que te obsesiones, pero lo que carece de sentido es que si tienes una empresa física instales varias capas de seguridad (cierres y cristales blindados, cajas fuertes, cámaras de  seguridad, alarmas), pero en la vertiente online lo fíes todo a un antivirus, que los hay muy buenos, pero también los hay de Padrón, a veces detectan y a veces non.

Pues las reglas de seguridad de la empresa, con un poco de ajo y pimentón…

Conclusión: Qué hacer en caso de ciberataque.

Como la ciberseguridad para empresas perfecta no existe, es más que posible que sufras un ciberataque. Si eso sucede, hay algunas cosas que debes hacer para controlar los daños:

  • Ante la mínima duda o comportamiento extraño de un ordenador o un móvil, aíslalo de la red inmediatamente (tanto de tu red interna como de internet) y realiza un análisis en profundidad con un antivirus actualizado. No mantengas conectado un ordenador sospechoso. Si crees que toda tu red ha sido infectada, apágala. Mientras esté conectada, el virus seguirá extendiéndose y puede propagarse por tu correo electrónico a terceros, con lo que aún la lías más parda.
  • Si tienes contratado un seguro de ciberriesgos (deberías), ponte en contacto inmediato con el teléfono de ayuda que te hayan dado, que normalmente será de una empresa especialista que podrá prestarte asistencia en remoto. Es posible que la cobertura de ciberriesgos esté en tu seguro multirriesgo de tu empresa, sobre todo si la póliza es nueva.
  • En caso de ataques de ransomware o secuestro de tus redes sociales, NO pagues. Si lo haces, es posible que te vuelvan a pedir más dinero o que simplemente cobren y se olviden de ti.
  • Presenta denuncia en la policía de inmediato, ellos tienen unidades especializadas en cibercrimen que te pueden ayudar.
  • Si el ataque ha sido contra tu web, ponte en contacto con la empresa de hosting. Ellos pueden tomar medidas ante un ataque DDoS o restaurar una copia de seguridad de tu web si ésta se ha visto alterada o comprometida.
  • Si han hackeado (de verdad) tu cuenta en una red social, denúncialo al servicio de ayuda. Tardarán, pero podrás recuperar tu cuenta demostrando que eres tú. La denuncia a la policía también ayuda.
  • Si se ha producido un robo o acceso no autorizado a datos personales, tienes que comunicárselo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas, y también a todas y cada una de las personas cuyos datos puedan haber quedado expuestos. Si no lo haces te arriesgas a una multa importante.
  • Limpiar un ordenador de virus una vez infectado es un trabajo complejo que no puede hacerte “tu primo el informático”. Es cosa de especialistas. No lo olvides.
  • Sé transparente. Cuéntales a tus clientes lo que está sucediendo y qué pasos estás siguiendo para solucionarlo, tanto por correo como por las redes. No digas: “tenemos un problema técnico”, di: “hemos sufrido un ciberataque”, del mismo modo que si una mañana tu tienda física aparece desvalijada y con un agujero en el escaparate no le dices a la gente: “es que hemos tenido un problema”.

Imágenes: Depositphotos

 

Otros artículos de

Publicado por

Suscríbete a M4C

Únete a nuestro canal de Telegram

¡Todo lo que necesitas saber!

Apúntate a nuestra newsletter y recibe gratis en tu correo nuestros mejores artículos sobre eCommerce y marketing digital.