La protección de información se volverá cada vez más crítica e importante para las empresas con presencia digital, en especial para las de comercio electrónico. Y es que, en estos tiempos de conectividad masiva, los datos de los usuarios pueden ser robados por hackers o usados sin su consentimiento. De acuerdo al libro La Privacidad es Poder, hoy en día “la información personal que aceptamos entregar a una aplicación móvil, puede ser vendida a cientos o miles de empresas, e incluso terminar en la deep web”.

Actualmente, millones de empresas recaban datos sensibles de sus clientes y de usuarios de internet, como nombres, números de teléfono, dirección, correos electrónicos, etc. Sin ir más lejos, se prevé que el fraude en las transacciones con tarjeta aumentará un 14% en este 2023.

Teniendo esto en cuenta, garantizar la seguridad de la información y la protección de datos en e-commerce será crucial para minimizar al máximo cualquier tipo de riesgo potencial que pueda poner en peligro las operaciones de las empresas y la integridad de los compradores.

¿Qué es la protección de información y datos?

La protección de información y datos consiste en un conjunto de medidas y prácticas diseñadas para garantizar la confidencialidad, integridad y disponibilidad de los datos almacenados en sistemas informáticos empresariales. De este modo, la protección de información implica asegurarse de que solo las personas autorizadas tengan acceso a los datos confidenciales, que estos últimos no sean alterados de manera no autorizada y que, además, estos estén siempre disponibles cuando se necesiten.

Cabe mencionar que la protección de información y datos es un aspecto crítico en un mundo cada vez más digital, donde la información sensible y valiosa se almacena y se transfiere a través de redes y sistemas computacionales. En este sentido, los mecanismos de protección de información se implementan para prevenir posibles robos de información o una gestión inadecuada de dichos datos sensibles.

¿Qué protegen los mecanismos de protección de información y datos en el comercio electrónico?

La seguridad de la información protege datos como los siguientes:

• Datos personales: datos relacionados con la identificación de los usuarios. Por ejemplo, nombres, apellidos, direcciones, números de teléfono, números de identificación personal (como el número de seguridad social o el número de pasaporte) y fechas de nacimiento. La protección de información y datos personales evita la exposición, el robo de identidad y la suplantación.
• Datos financieros: que tienen que ver con cuentas bancarias, tarjetas de crédito, números de cuentas, contraseñas de cuentas financieras y transacciones financieras. Casi el 100% de los e-commerces manejan datos financieros sobre sus clientes.
• Datos de salud: como historiales clínicos, resultados de pruebas médicas, recetas y números de seguro médico. Este punto es muy importante en la protección de información por parte de e-commerces del área de la salud, como farmacias online, laboratorios clínicos, etc.
• Información empresarial: el know-how de un negocio, estrategias de marketing, datos de clientes, planes financieros y datos de investigación y desarrollo. La pérdida de esta información tiene un impacto financiero y competitivo significativo.
• Comunicaciones: correos electrónicos, mensajes de chat, llamadas de voz y videollamadas que, a menudo, contienen información sensible y privada. 
• Datos de ubicación: teniendo en consideración que los dispositivos móviles y las aplicaciones recopilan datos de ubicación de los usuarios, estos mecanismos protegen estos datos para salvaguardar la privacidad del usuario y prevenir el rastreo no deseado.
• Datos de navegación: se trata de la información recopilada por los navegadores y sitios web como, por ejemplo, los historiales de navegación, las cookies y preferencias de usuario. La protección de información en este sentido ayuda a preservar

¿Cuál es la importancia de proteger la información?

La importancia de proteger la información y datos en el e-commerce radica en la misma naturaleza altamente transaccional de este entorno. Y es que el comercio electrónico involucra la transferencia de datos financieros sensibles entre los compradores y los vendedores en línea. Por tanto, la protección de datos en e-commerce es esencial para garantizar la integridad de las transacciones y proteger tanto a los consumidores como a las empresas y/o vendedores particulares.

Asimismo, la seguridad en e-commerce es vital para la reputación de las plataformas en línea. Esto se debe a que la confianza es un componente fundamental para el éxito en el comercio electrónico. Sin ir más lejos, la pérdida o el acceso no autorizado a esta información sensible podría resultar en fraudes financieros masivos y la reducción de confianza de los clientes. Por ello, las empresas que implementan medidas de seguridad sólidas no solo protegen la información del cliente, sino que también fortalecen su posición en el mercado y construyen relaciones a largo plazo con sus compradores.

¿Qué normativa regula la protección de datos personales en e-commerce?

Con el objetivo de que las organizaciones implementen medidas de protección de información, tanto en México como a nivel mundial, se han estado impulsando leyes que regulan la gestión de los datos personales de los usuarios en internet.

En el caso concreto de México, contamos con nuestro propio marco regulatorio sobre la protección de información. Por ejemplo, tenemos la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), promulgada en 2010. Esta herramienta jurídica establece una serie de principios y obligaciones que las organizaciones deben cumplir al procesar datos personales. Por ejemplo, estas deben obtener el consentimiento de los titulares de los datos para su recopilación y uso, proporcionar acceso a los titulares para que puedan ejercer sus derechos sobre sus datos y tomar medidas de protección de información adecuadas.

En este sentido, la protección de información y datos es obligatoria cuando las organizaciones:

• Recopilan los datos de contacto de las personas, como correos electrónicos y números de teléfono para campañas de marketing.
• Almacenan el historial de navegación de los usuarios en internet para analizar sus intenciones de búsqueda y deseos de productos.
• Utilizan los datos financieros de los usuarios para completar alguna transacción de compra/venta en el comercio electrónico.
• Transfieren los datos personales fuera de México, como pudiesen ser por motivos de alianzas estratégicas con plataformas web alojadas en otro país.

Por otro lado, en México, también contamos con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO). Esta ley, a diferencia de la LFPDPPP, la cual está orientada a la protección de información por parte de empresas, define las obligaciones y responsabilidades que tienen las entidades públicas sobre la gestión de los datos de las personas. 

En definitiva, cualquier tipo de comercio electrónico debe tener muy en cuenta estos marcos regulatorios y considerarlos como una guía sobre el tratamiento de información de datos personales para fines de marketing y publicidad. De esta manera, no incumplirán ninguna obligación durante el desarrollo de sus campañas y estrategias.

¿Cómo se puede proteger la información?

En el ámbito empresarial, se puede proteger la información de varias maneras, todas funcionando de manera sincronizada entre sí. En este sentido, algunas de las principales medidas de protección de información son las siguientes:

• Políticas de seguridad de la información: establecer políticas claras y procedimientos internos para el manejo de datos, acceso, almacenamiento y transmisión de información. La política de protección de datos de una empresa ayuda a crear una cultura de seguridad entre los empleados.
• Educación y capacitación: brindar capacitación regular a los empleados sobre las mejores prácticas de seguridad, por ejemplo, sobre cómo identificar amenazas cibernéticas y cómo responder ante posibles incidentes.
• Gestión de accesos: limitar el acceso a la información solo a empleados autorizados. Para ello, es recomendable utilizar sistemas de autenticación sólidos (contraseñas fuertes, autenticación de dos factores (2FA), etc.). 
• Cifrado de datos: utilizar cifrado para la protección de información y datos tanto en tránsito como en reposo. Esto dificulta que los atacantes puedan acceder a la información en caso de un acceso no autorizado.
• Seguridad de red: implementar firewalls, sistemas de detección de intrusiones y sistemas de prevención de intrusiones para proteger las redes internas de la empresa contra ciberataques.

En Alestra, como empresa líder en soluciones tecnológicas, nos preocupamos por la ciberseguridad y ponemos a disposición de tu negocio nuestras soluciones de:

• Firewall Administrado: proporciona una línea frontal de defensa dentro de una estrategia de protección profunda de múltiples capas.
• IPS Administrado: incluye infraestructura, procesos, monitoreo, sistemas y personal altamente especializado que detecta de anticipada comportamientos irregulares o no autorizados en la red.
• WAF Administrado: para filtrar, bloquear o monitorear el tráfico HTTP de aplicaciones web entrante y saliente. 
• SIMA Gestión de Inteligencia: identifica actividades que podrían significar una amenaza y emite alertas de un posible problema de seguridad, gracias a diferentes procedimientos de recopilación y análisis de eventos.

• Actualizaciones y parches: mantener actualizados todos los sistemas y software con las últimas correcciones de seguridad para evitar vulnerabilidades conocidas.
• Política de dispositivos móviles: establecer pautas claras para el uso de dispositivos móviles en el entorno de trabajo, incluido el uso de contraseñas, la encriptación y las restricciones en la instalación de aplicaciones. 
• Auditorías y pruebas de seguridad: realizar auditorías periódicas y pruebas de penetración para identificar posibles vulnerabilidades en los sistemas y procesos de la empresa. 

Las Pruebas de Penetración de Alestra, una consultoría técnica basada en prácticas de ethical hacking, te permitirán descubrir y demostrar vulnerabilidades e identificar problemas que puedan tener tanto un impacto técnico como de negocio.

• Respuesta a incidentes: establecer un plan de respuesta a incidentes que describa cómo se manejarán y comunicarán las violaciones de seguridad en caso de que ocurrieran.
• Respaldo de datos: realizar copias de seguridad regulares de los datos críticos y almacenarlas en ubicaciones seguras, lo cual ayuda a recuperar información en caso de pérdida o corrupción de datos.
• Contratación de expertos en seguridad: se debe considerar la contratación de profesionales expertos en protección de información que puedan diseñar e implementar estrategias sólidas de protección de datos.

En Alestra, somos #EspecialistasenCiberseguridad. Con más de 27 años liderando la transformación digital en México, nuestro propósito para los años venideros es seguir ayudando a las organizaciones a encontrar las soluciones que necesitan para cumplir con las obligaciones de protección de información.

Por esta razón, como estamos #ContectadosContigo, ponemos a tu disposición nuestro amplio portafolio de Soluciones de Ciberseguridad para mejorar las tecnologías, los procesos y los modelos de tu negocio, con el objetivo de garantizar la protección de la información. Hoy y siempre seguimos desarrollando la privacidad para mirar hacia el futuro bajo la perspectiva de un internet siempre disponible, seguro y privado. 

José Juan Marroquín Paz

Gerente Ciberseguridad

Es Master en Ciencias Computacionales con especialidad en Teleinformática e Ingeniero en Electrónica y Comunicaciones por la Universidad Autónoma de Nuevo León. Tiene más de 29 años de experiencia en el ramo de las Telecomunicaciones y Tecnologías de Información. Cuenta con certificaciones de Managed Service Provider Professional y CompTIA Security+, así como experiencia en la Integración y Automatización de Sistemas, Logística, Control de Calidad en petroquímica, bioquímica, farmacéutica, científica-médica, analítica y ambiental. Forma parte de Alestra desde 1996 y actualmente se desempeña como Gerente de Estrategia de Ciberseguridad.