Autenticación y Seguridad en el Comercio Electrónico: Desafíos y Soluciones

El comercio electrónico ha transformado la forma en que compramos y vendemos productos y servicios, pero esta evolución trae consigo nuevas amenazas y riesgos. Para garantizar la seguridad de las transacciones online, es fundamental adoptar medidas que protejan la información sensible y prevengan fraudes. Este artículo explora las claves para un comercio electrónico seguro, los desafíos actuales en la autenticación de pagos y las soluciones disponibles.

El Desafío de la Directiva Europea PSD2 en el Comercio Online

Desde el 1 de enero, la directiva europea de pagos PSD2 exige que el comercio online solicite al consumidor una doble autenticación en sus compras para aumentar la seguridad. Sin embargo, un mes y medio después de su entrada en vigor, el ecosistema de pagos español "sigue sin estar preparado", según fuentes como la fintech Unnax y el medio de pago para ecommerce SeQura.

Para que una transacción online se realice con éxito bajo esta norma, el usuario debe identificarse con una combinación de dos de los siguientes conceptos de autenticación:

• Una contraseña que solo debe conocer el usuario.
• Una posesión, como un móvil.
• Una inherencia, es decir, algo que el usuario es, como una huella digital o un reconocimiento facial.

Si el comercio no exige esta doble autenticación, "la norma obliga a rechazar todas las operaciones recibidas como comercio electrónico no seguro", señalan fuentes bancarias. Estas fuentes añaden que, aunque "cumpliendo con la norma, prácticamente todas las tarjetas bancarias permitían a 1 de enero realizar el doble factor de autenticación en compras online requerido por el supervisor", el problema reside en el retraso notable de muchos comercios en aplicar la norma. En consecuencia, todas las operaciones enviadas por el comercio como comercio electrónico seguro tienen que ser tratadas con doble factor de autenticación, y aquellas enviadas como no seguras deben ser denegadas.

Ante esta falta de preparación, el Banco de España decidió ampliar el calendario para reclamar la doble autenticación en unos meses, en función del importe de la compra, para evitar la denegación de una gran parte de las operaciones online:

Según SeQura, desde principios de año se ha observado "un volumen elevado de errores en los pagos con tarjetas, en general, en el comercio, pero en el online también porque en el proceso de pago con tarjeta, en el que se ven implicados la entidad del comercio (TPV), la entidad emisora (la tarjeta) y la compañía de pagos (Visa, Mastercard, entre otras), una de ellas falla y se descarta la operación".

Impacto en la Tasa de Conversión y Soluciones Alternativas

Todas las fuentes coinciden en que desde hace unas semanas la tasa de conversión en el último paso del proceso de pago ha bajado del 70% al 40%, lo que supone una caída dramática del pago con tarjeta para los comercios. Ante estos fallos, se ha detectado "un aumento del pago con la modalidad compra ahora, paga después, que está exenta de la PSD2", explica SeQura.

La banca ha iniciado campañas para comunicar a los clientes los fallos y añade que "esa denegación es generalizada y ningún banco español puede autorizar la compra sin los requisitos de autenticación con ninguna tarjeta". Un estudio de Amazon de diciembre de 2020 ya facilitaba datos de España "preocupantes", indicando que "la tasa de abandono después de que la página del banco haya cargado se eleva a un 88%".

El Caso de Amazon y las Caídas de Operaciones

Según datos de MPServices, consultora especializada en fraude y pagos online, solo un 2% de las transacciones con importes superiores a los 250 euros y sin autenticación están siendo rechazadas. Sin embargo, en los ecommerce que sí han implantado esta doble autenticación, se ha visto un impacto importante en su tasa de conversión, con un 23,5% de transacciones caídas debido al protocolo de seguridad europeo, explica Unnax.

SeQura señala que, en el caso de retailers, hasta hace unos días Amazon tenía un banner en el que recomendaba el pago por transferencia, precisamente para evitar errores en los pagos con tarjeta.

Claves para un Comercio Electrónico Seguro

El comercio electrónico seguro engloba todas las medidas y prácticas que se implementan para proteger las transacciones online. Este enfoque integral incluye desde la seguridad de la plataforma web hasta la protección de los datos de los clientes, y también tiene en cuenta la información financiera de ambos. A continuación, se detallan las claves esenciales para garantizar la confianza de los clientes en el entorno digital.

Protección de la Plataforma Web

• Protocolo HTTPS: Sirve como escudo protector para la información que se transmite en el sitio web y los navegadores de los clientes. Esto se puede comprobar en la barra del navegador verificando el icono del candado y asegurándose de que aparece "https" en lugar de "http".
• Software Actualizado: Es importante tener el sistema operativo, el software del servidor web y las aplicaciones del comercio actualizadas con las últimas versiones.
• Firewall: Implementar un firewall como barrera contra accesos no autorizados a la web.
• Auditorías de Seguridad Regulares: Realizar auditorías de seguridad periódicas para identificar y corregir posibles vulnerabilidades en la web.

Protección de Datos de Clientes

• Normativa de Protección de Datos: Se debe cumplir rigurosamente con las leyes de protección de datos, como la RGPD en Europa.
• Almacenamiento Seguro de Datos: Hay que almacenar los datos de los clientes en servidores seguros protegidos con contraseñas robustas y cifrado de datos.
• Recopilación de Datos Justa: Limitar la recopilación de datos a la información necesaria para el funcionamiento del comercio electrónico seguro.
• Control sobre los Datos: Es imprescindible facilitar a los clientes opciones para acceder, modificar y eliminar sus datos personales.

Seguridad en los Pagos Online

• Métodos de Pago Fiables: Se debe ofrecer a los clientes métodos de pago seguros. Con tarjetas de crédito con pasarelas de pago seguras, como Visa, MasterCard y American Express, o plataformas de pago online de confianza como PayPal, Apple Pay y Google Pay.
• Autenticación del Cliente: Implementar medidas como la autenticación en dos pasos o el uso de códigos CVV para verificar la identidad del cliente y prevenir fraudes.
• Protección de Información Financiera: No se debe almacenar información financiera sensible de los clientes en los servidores de la web, como los números de tarjetas de crédito o contraseñas.

Concienciación y Formación

• Formación en Seguridad Online: Es importante que los empleados reciban formación en seguridad online. Con las mejores prácticas de seguridad online, como la identificación de correos electrónicos de phishing, el uso de contraseñas robustas y la autenticación en dos pasos, se pueden identificar y prevenir amenazas cibernéticas.
• Comunicación de Medidas de Seguridad: Se debe informar a los clientes sobre las medidas de seguridad implementadas para proteger sus datos y sus transacciones online.

Monitoreo y Respuesta a Incidentes

• Plan de Respuesta a Incidentes: El comercio electrónico tiene que incluir un plan de acción claro y definido para actuar de forma rápida y eficaz en caso de un ataque cibernético o fuga de datos.
• Monitoreo de la Actividad Web: Hay que monitorizar constantemente la actividad de la web para detectar comportamientos anómalos que puedan indicar un ataque cibernético.
• Alertas de Seguridad: Suscribirse a alertas de seguridad y organismos gubernamentales para informarse sobre las últimas amenazas y vulnerabilidades. Por ejemplo, el Instituto Nacional de Ciberseguridad (INCIBE).
• Registros del Sistema: Es importante revisar los registros del sistema del servidor web y de las aplicaciones para detectar errores, intentos de acceso o modificaciones no autorizadas.

Beneficios de un Comercio Electrónico Seguro

Implementar las claves para un comercio electrónico seguro, además de proteger a la empresa frente a fraudes y pérdidas financieras, ofrece una serie de beneficios:

• Mayor Confianza de los Clientes: Cuando los datos y la información financiera de los clientes están protegidos, se sienten más seguros para hacer transacciones online.
• Mejora de la Reputación de Marca: Una empresa que demuestra su seguridad tiene mejor reputación y una imagen más positiva entre los consumidores.
• Aumento de las Ventas: La confianza de los clientes, aumenta las ventas del comercio y favorece su fidelización.

Otros Criterios que Transmiten Fiabilidad en un Comercio Electrónico

La fiabilidad en un comercio electrónico no solo se basa en la seguridad de los métodos de pago y la protección contra ciberataques, sino también en una serie de criterios que ayudan a construir la confianza del cliente en un negocio online:

• Puntualidad en la entrega de pedidos.
• Packaging personalizado.
• Rápida gestión de incidencias y devoluciones.
• Seguimiento de pedidos.
• Experiencia de usuario.
• Políticas claras y transparentes.

Es muy importante que la URL de la web debe comenzar por “https” en lugar de “http”. Esa “s” adicional indica que la información compartida viaja cifrada y que hay un certificado digital por detrás expedido por una entidad certificadora. La página web debe proporcionar información legal de la empresa de manera clara y completa (denominación social de la empresa, CIF, información de contacto…). Diseños no profesionales, la presencia de errores de redacción o elementos que no respeten la imagen de la marca deben ponernos en alerta.

El sitio web debe especificar las condiciones de contratación, como condiciones de compra, plazo y gastos de envío, garantía, derecho de desistimiento, devoluciones, etc. Así como poseer una política de cookies que informe del uso de estas en la web y una política de privacidad que informe sobre el tratamiento de los datos personales del usuario.

Debemos prestar atención a la modalidad de pagos que permite la web. Comprueba que ofrecen métodos seguros como plataformas de pago intermediarias (PayPal, Apple Pay, Google Pay…), tarjetas de crédito (especialmente si redirigen a la plataforma segura del banco para solicitar un segundo factor de autenticación) o tarjetas prepago. Algunas webs cuentan con distintivos que indican que el sitio web ha sido evaluado y cumple con ciertos estándares de seguridad y confiabilidad, proporcionados por entidades certificadoras.

Redsys: Un Actor Clave en los Pagos Online Seguros

Redsys es una plataforma española que actúa como un intermediario en las transacciones electrónicas, especialmente en pagos con tarjeta. Esta compañía proporciona una solución tecnológica segura y eficiente tanto para tiendas online como para sus clientes.

Cuando un cliente realiza una compra en tu tienda virtual y elige pagar con tarjeta, Redsys interviene para facilitar esa transacción. Se encarga de procesar el pago, verificando la información de la tarjeta de crédito o débito y asegurando que los fondos sean transferidos de manera segura desde la cuenta del comprador hasta la tuya. Este proceso es fundamental para garantizar la confianza en las operaciones online, ya que asegura tanto al comprador como al vendedor que el pago se realiza de manera segura y eficaz.

Ventajas de Redsys

• Facilidad de Integración: Redsys permite una integración sencilla con diversas plataformas de comercio electrónico, como PrestaShop, Magento y OSCommerce, a través de plugins gratuitos.
• Amplia Aceptación: Colabora con la mayoría de los bancos, cajas y entidades de crédito españoles.
• Flexibilidad y Personalización: Ofrece la posibilidad de personalizar la imagen de las páginas de pago, adaptándose a la identidad de tu tienda online.
• Diversidad en las Operativas de Pago: Redsys soporta todo tipo de operativas de pago, incluyendo preautorizaciones, ventas y devoluciones.
• Control Total: Proporciona un módulo de administración que te permite gestionar tu negocio y las ventas de manera online.
• Adaptabilidad Móvil: Está diseñado para ser totalmente compatible con dispositivos móviles y tablets.
• Soporte Técnico 24/7: Brinda un soporte técnico constante, asegurando asistencia en cualquier momento del día.
• Seguridad: Redsys encripta la información de los pagos, garantizando la seguridad en cada transacción.
• Variedad en Métodos de Pago: Además de las tarjetas de crédito y débito, Redsys permite el uso de otros métodos como Bizum, ofreciendo mayor flexibilidad a los clientes.

Códigos de Error de Redsys

Al recibir pagos con tarjeta de crédito o débito, estos podrán ser aceptados o rechazados por muchos motivos (mal código CVV, fecha errónea, datos erróneos, problemas de comunicación…). Cuando se recibe un pedido cancelado, para conocer el motivo, se puede comprobar el código de error de Redsys. Para ello, se puede entrar al panel de Redsys (el de producción) y allí se podrá ver más información.

Los códigos de respuesta de Redsys, aunque no siempre ofrecen mucha información detallada, pueden ser de ayuda para saber si el problema está en la propia transacción, en Redsys o en la plataforma del comercio. Si quieres más información, puedes acceder a la propia página de Redsys.

Redsys y WooCommerce

Redsys tiene una pasarela de pagos para WooCommerce mediante un plugin de pago que suele ser el más utilizado. Sin embargo, existe una versión “ligera” completamente gratuita que se presenta como una gran solución al plugin oficial de Redsys. En muchas ocasiones, la gran mayoría de tiendas tendrían suficiente con esta versión “ligera”, por lo que antes de optar por la versión de pago, se recomienda instalar WooCommerce Redsys Gateway Light.

Consejos de Seguridad para Usuarios y Comercios

Con el crecimiento del comercio online, también surgen desafíos en términos de seguridad y protección de datos. Es vital que tanto usuarios como plataformas tomen medidas para asegurar una experiencia de compra sin riesgos. La confianza entre ambas partes y la transparencia en el manejo de información son clave para garantizar un entorno seguro.

Para los usuarios de comercio electrónico:

• Comprobar el certificado SSL: Antes de introducir cualquier información personal en una página web, hay que asegurarse de que tenga este certificado (icono de candado y "https" en la URL). Además, la tienda debe tener una política de privacidad clara.
• Evitar ofertas demasiado buenas: Si una oferta parece irreal, es probable que lo sea y se trate de productos falsos o réplicas.
• Buscar una dirección y un número de teléfono: Los sitios web legítimos suelen proporcionar información de contacto verificable.
• Comprobar errores ortográficos y gramaticales: Un sitio web con mala redacción, imágenes de baja calidad o sin política de devolución ni opiniones puede ser una señal de fraude.
• Escribir la URL directamente: Para evitar el phishing, es más seguro escribir la URL en la barra de direcciones del navegador en lugar de hacer clic en enlaces sospechosos.
• Evitar usar redes Wi-Fi públicas: Es importante utilizar una VPN (red privada virtual) para cifrar los datos cuando se utilicen redes Wi-Fi públicas para aumentar la seguridad de las transacciones online.

Para las plataformas y tiendas online:

• Implementar medidas de seguridad robustas: Invertir en tecnología de seguridad informática de última generación, incluyendo firewalls, sistemas de detección de intrusiones y cifrado de datos.
• Garantizar la transparencia: Proporcionar información clara y accesible sobre las políticas de privacidad, qué datos se recopilan, cómo se utilizan y con quién se comparten.
• Ofrecer métodos de pago seguros: Implementar métodos de pago confiables que minimicen el riesgo de fraude y robo de información financiera, adoptando pasarelas de pago seguras y cumpliendo con estándares de seguridad como PCI DSS.
• Colaborar con las autoridades: Participar activamente en iniciativas para combatir el fraude online, compartir información relevante con las autoridades competentes y cumplir con las regulaciones de protección de datos vigentes.