Un clic inocente, una compra sin pretensiones, un descuento imperdible. Todo parece seguro, hasta que llega la factura con un importe desconocido. Entre bastidores del comercio electrónico, mientras los consumidores disfrutan de la comodidad de lo digital, se libra a diario una guerra invisible contra estafas cada vez más sofisticadas.
Para 2024, más de la mitad de los brasileños habían sido víctimas de algún tipo de fraude, según Serasa Experian. Y el impacto es real: el 54,2 % reportó pérdidas financieras, muchos de ellos sin siquiera darse cuenta de la estafa. Si bien el fraude solía ser masivo y flagrante, hoy es quirúrgico, silencioso y costoso. El precio promedio de estas estafas ha aumentado un 30 % y ahora supera los R$1300 por pedido.
La delincuencia ha evolucionado y la seguridad digital debe mantenerse al día. El comercio electrónico es el nuevo terreno de juego para los ciberdelincuentes. Datos de Febraban (Banco de Brasil) muestran que las pérdidas financieras por fraude digital en Brasil alcanzaron los 10.100 millones de reales en 2024, un 17 % más que el año anterior. «El entorno digital, especialmente para el comercio electrónico, se ha convertido en un campo minado», advierte Wagner Elias, director ejecutivo de Conviso, empresa especializada en seguridad de aplicaciones.
Y el enemigo no duerme. Las amenazas son diversas, desde ataques de phishing (que representan el 15% de los casos) hasta el uso de credenciales robadas (16%), e incluso infiltraciones maliciosas, con un coste medio por filtración de US$4,99 millones, el más alto de la lista.
Elias explica que algunas de las técnicas más populares son el robo de identidad digital y la apropiación de cuentas (ATO). En el robo de identidad digital, el delincuente inyecta código malicioso directamente en la página de pago. En el ATO, la estafa es más metódica: usando credenciales filtradas, acceden a cuentas reales, cambian contraseñas y realizan compras. Según la empresa AllowMe, el 72 % del fraude minorista digital proviene de estos accesos no autorizados.
¿Sus objetivos preferidos? Juegos, celulares, computadoras y electrónicos: productos con alta liquidez en el mercado informal y fácil reventa. Mientras tanto, los métodos de pago preferidos por los estafadores siguen siendo las tarjetas de crédito. La razón es simple: compras rápidas, verificación mínima y solo se les descubre cuando llega la factura.
LA LUCHA
¿Y qué se puede hacer? La respuesta está en la tecnología y, sobre todo, en la planificación de la seguridad desde el inicio del desarrollo de la aplicación. «La respuesta está en la tecnología, sí, pero sobre todo, en cómo se implementa. Dejar las consideraciones de seguridad hasta que el sistema esté en funcionamiento es un error fatal. Prácticas como PCI DSS deben incorporarse desde el inicio del desarrollo e invertir en herramientas como WAF para proteger los sitios web contra ataques en tiempo real», afirma Wagner Elias.
Aquí es donde entran en juego herramientas como los WAF (firewalls de aplicaciones web), que monitorizan el tráfico en tiempo real, bloquean patrones sospechosos y protegen los sitios web de ataques como la inyección de código y el acceso no autorizado. El uso de IA (inteligencia artificial) también ha sido importante para anticipar comportamientos maliciosos, reduciendo los costes de las filtraciones hasta en 2,2 millones de dólares, según el estudio «Costo de una filtración de datos 2024» de IBM.
Otro punto esencial es el uso de prácticas que cumplan con PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago), un conjunto de estándares internacionales que ayudan a proteger las transacciones con tarjeta. «Las empresas que operan con datos de pago deben, tanto por obligación como por inteligencia empresarial, cumplir estrictamente con PCI. Esto es lo que distingue un sistema seguro de una puerta abierta al fraude», añade Elias.
Incluso con los avances tecnológicos, el tiempo promedio para contener una brecha de seguridad sigue siendo largo: 258 días. En el caso de credenciales robadas, puede llegar a 292 días, casi un año. Parte de la culpa recae en la escasez de profesionales especializados, que aumentó un 26,2 % el año pasado, incrementando el costo de las brechas en 1,76 millones de dólares.
Sin embargo, el experto advierte: quienes invierten en automatización, seguridad desde cero y simulaciones de ataques —conocidos como pruebas de penetración— tienen más posibilidades de salir ilesos o, al menos, reducir los daños.
Informes de las principales autoridades en ciberseguridad confirman la eficacia de la protección PCI DSS y WAF: según el DBIR 2024 de Verizon, el cumplimiento de PCI DSS reduce los incidentes de seguridad en un 52 %, mientras que los WAF bloquean hasta el 80 % de los ataques a aplicaciones web. El estudio «Costo de una Brecha de Datos 2023» de IBM revela que las empresas con WAF ahorran 1,4 millones de dólares por brecha, y PCI DSS acelera el tiempo de respuesta ante brechas en un 54 %. En combinación, estas soluciones pueden reducir las pérdidas financieras hasta en un 75 %, según el Instituto Ponemon (2024).
Así, las empresas que siguen el estándar PCI DSS tienen la mitad de problemas con las filtraciones de datos, y los firewalls de aplicaciones web (WAF) previenen 8 de cada 10 ataques de hackers. Quienes utilizan ambas tecnologías en conjunto limitan las pérdidas financieras a tan solo el 25 % de lo que normalmente se espera tras las filtraciones, explica.
En Estados Unidos, una violación cuesta un promedio de 9,36 millones de dólares, el precio más alto del mundo por decimocuarto año consecutivo. Allí, el 63 % de las empresas ya admiten que repercutirán este coste a los clientes, lo que demuestra que invertir en seguridad no es solo una precaución: es una cuestión de competitividad e imagen. Elias concluye: «En tiempos de auge del comercio electrónico y datos valiosos, ignorar la seguridad digital significa perder dinero, comprometiendo al mismo tiempo los ingresos y la reputación. También significa perder la confianza de los clientes y la credibilidad de la marca».
