Un clic inocente, una compra despreocupada, un descuento imperdible. Todo parece seguro, hasta que la factura llega con un monto que no reconoces. Tras bambalinas del comercio electrónico, mientras los consumidores disfrutan de la comodidad digital, se libra una guerra invisible todos los días contra fraudes cada vez más sofisticados.
En 2024, más de la mitad de los brasileños ya han sido víctimas de algún tipo de fraude, según Serasa Experian. Y el impacto es real: el 54,2% reportaron pérdidas financieras, muchos de ellos sin siquiera darse cuenta del momento del engaño. Antes, las fraudes llegaban en masa y de forma burda, hoy son quirúrgicas, silenciosas y costosas. El monto promedio de los golpes ha aumentado un 30% y ya supera los R$ 1.300 por pedido.
El crimen ha evolucionado, y la seguridad digital necesita ponerse al día. El comercio electrónico es el nuevo patio de recreo de los cibercriminales. Los datos de Febraban muestran que las pérdidas financieras por fraudes digitales en Brasil alcanzaron los R$ 10,1 mil millones en 2024, un 17% más que el año anterior. “El entorno digital, especialmente para el comercio electrónico, se convirtió en un campo minado”, advierte Wagner Elias, CEO de Conviso, especializada en seguridad de aplicaciones.
Y el enemigo no duerme. Las amenazas son variadas, desde ataques de phishing (que representan el 15% de los casos) hasta el uso de credenciales robadas (16%), pasando por insiders maliciosos, estos, por cierto, con un costo promedio por violación de 4,99 millones de dólares, el más alto de la lista.
Elias cuenta que una de las técnicas en auge son el skimming digital y el toma de control de cuentas (ATO). Sin escaneo, el criminal inyecta códigos maliciosos directamente en la página de pago. Ya en el ATO, el golpe es más frío y metódico: con credenciales filtradas, accede a cuentas reales, cambia contraseñas y realiza compras. Según la empresa AllowMe, el 72% de los fraudes en el comercio minorista digital provienen de estos accesos indebidos.
¿Los objetivos preferidos? Juegos, celulares, informática y electrónicos, productos con alta liquidez en el mercado informal y fácil reventa. Los medios de pago preferidos de los estafadores siguen siendo las tarjetas de crédito. La razón es simple: compra rápida, poca verificación, y solo se descubre cuando llega la factura.
EL COMBATE
¿Y qué se puede hacer? La respuesta está en la tecnología y, sobre todo, en la planificación de seguridad desde el inicio del desarrollo de las aplicaciones. La respuesta está en la tecnología, sí, pero, sobre todo, en la forma en que se implementa. Dejar para pensar en seguridad solo después de que el sistema está en funcionamiento es un error fatal. Es necesario incluir prácticas como PCI DSS desde el inicio del desarrollo e invertir en herramientas como WAFs para proteger los sitios contra ataques en tiempo real, afirma Wagner Elias.
Es ahí donde entran herramientas como los WAFs (Firewalls de Aplicaciones Web), que monitorean el tráfico en tiempo real, bloquean patrones sospechosos y protegen los sitios de ataques como inyección de código y accesos no autorizados. El uso de IA (Inteligencia Artificial) también ha sido importante para anticipar comportamientos maliciosos, reduciendo hasta 2,2 millones de dólares los costos por violaciones, según el estudio "Cost of a Data Breach 2024" de IBM.
Otro punto esencial es el uso de prácticas compatibles con el PCI DSS (Payment Card Industry Data Security Standard), un conjunto de estándares internacionales que ayudan a proteger las transacciones con tarjeta. "Las empresas que operan con datos de pago deben, por obligación y por inteligencia de negocio, seguir estrictamente el PCI. Eso es lo que diferencia un sistema seguro de una puerta abierta a la estafa", completa Elias.
Incluso con el avance de la tecnología, el tiempo promedio para contener una violación sigue siendo largo: 258 días. En caso de credenciales robadas, puede llegar a 292 días, casi un año. Una parte de la culpa es la escasez de profesionales especializados, que aumentó un 26,2% en el último año y elevó el costo de las violaciones en 1,76 millones de dólares.
Sin embargo, el especialista advierte: quien apuesta por la automatización, la seguridad desde la base y las simulaciones de ataques — los llamados tests de penetración — tiene más posibilidades de salir ileso o, al menos, reducir los daños.
Los informes de las principales autoridades en seguridad cibernética demuestran la eficacia de las protecciones PCI DSS y WAF: según el DBIR 2024 de Verizon, el cumplimiento del estándar PCI DSS reduce en un 52% los incidentes de seguridad, mientras que los WAF bloquean hasta el 80% de los ataques a aplicaciones web. El estudio Cost of a Data Breach 2023 de IBM revela que las empresas con WAFs ahorran 1,4 millones de dólares por violación, y el PCI DSS acelera en un 54% el tiempo de respuesta a las brechas. Cuando se combinan, estas soluciones pueden reducir las pérdidas financieras hasta en un 75%, según el Ponemon Institute (2024).
Así, las empresas que siguen el estándar PCI DSS tienen la mitad de los problemas con filtraciones de datos, y los Firewalls para aplicaciones web (WAFs) impiden 8 de cada 10 ataques de hackers. Quienes usan ambas tecnologías juntas limitan las pérdidas financieras a solo el 25% del valor normalmente esperado tras invasiones, explica.
En los EE.UU., una violación cuesta, en promedio, 9,36 millones de dólares, la cifra más alta del mundo por 14º año consecutivo. Allí, el 63% de las empresas ya admiten que transferirán ese costo a los clientes, lo que demuestra que invertir en seguridad no es solo una precaución: es una cuestión de competitividad e imagen. Elias finaliza: “En tiempos de comercio electrónico en auge y datos valiosos, ignorar la seguridad digital es dejar dinero sobre la mesa, comprometer ingresos y reputación al mismo tiempo. Además de perder la confianza del cliente y la credibilidad de la marca”.
