Contenido
- Amenazas específicas a ecommerce (carding, account takeover, magecart)
- PCI DSS: qué aplica y cómo cumplir
- Fraud prevention: stack técnico
- 3DS2, tokenization, encryption at rest
- Auditoría de seguridad ecommerce: checklist
- Próximo paso
- Preguntas frecuentes
- ¿Qué nivel de PCI DSS aplica a mi tienda?
- ¿3DS2 reduce la conversión?
- ¿Cómo detecto si tengo Magecart en mi checkout?
- ¿Vale la pena tokenizar si ya uso un gateway hosted?
- ¿Cada cuánto debo hacer pentest en mi ecommerce?
- ¿Qué logs son críticos guardar?
Una tienda online procesa pagos, datos personales y credenciales en tiempo real, y cada uno de esos flujos es un vector activo de ataque. A diferencia de un sitio corporativo, el ecommerce combina superficie pública amplia, integraciones con pasarelas, SDKs de terceros y campañas de tráfico masivo que atraen también a atacantes automatizados.
El costo de un incidente va más allá del fraude directo: chargebacks, multas PCI DSS, caída de conversión por falsos positivos en antifraude y pérdida de reputación. Según el [VERIFICAR: IBM Cost of a Data Breach 2025 — costo promedio de brecha en retail, ~USD 3.5M] el sector retail sigue siendo uno de los más afectados por filtración de datos de tarjetas.
Esta guía ejecutiva cubre las amenazas específicas del ecommerce, el alcance real de PCI DSS, el stack técnico de prevención de fraude y una checklist de auditoría que puedes aplicar en tu próximo sprint de seguridad.
Amenazas específicas a ecommerce (carding, account takeover, magecart)
El ecommerce concentra tres familias de ataque que rara vez aparecen juntas en otros verticales. El carding consiste en probar masivamente números de tarjeta robados contra el checkout, usando bots que ejecutan micro-transacciones para validar BINs activos. Un solo pico de carding puede generar miles de intentos por minuto y disparar los costos de gateway además de ensuciar tu tasa de autorización.
El account takeover (ATO) explota credenciales reutilizadas: el atacante entra con usuario y contraseña legítimos, cambia el correo, y usa saldos, puntos de fidelidad o métodos de pago guardados. Según [VERIFICAR: reporte Akamai State of the Internet 2025 — % de tráfico de login que es credential stuffing en retail], una fracción significativa del tráfico de login en retail es credential stuffing automatizado.
El Magecart (skimming de tarjetas en el lado cliente) inyecta JavaScript malicioso en el checkout, típicamente vía una dependencia de terceros comprometida (un tag de analítica, un chatbot, un A/B testing). El script copia los datos de la tarjeta en el mismo momento en que el usuario los escribe y los envía a un dominio controlado por el atacante, sin dejar rastro en el backend. Para un panorama más amplio de vectores, revisa los ciberataques más frecuentes en sitios web.
Otras amenazas relevantes: scraping de precios y catálogo, abuso de cupones y programas de referidos, ataques de denegación de inventario (bots que reservan stock sin comprar) y phishing que suplanta la marca durante campañas.
PCI DSS: qué aplica y cómo cumplir
PCI DSS aplica a cualquier comercio que almacene, procese o transmita datos de titulares de tarjeta. El punto clave es el alcance (scope): cuanto menor sea el contacto de tu infraestructura con el PAN (Primary Account Number), menor es el esfuerzo de cumplimiento. La mayoría de tiendas medianas deberían apuntar a SAQ A o SAQ A-EP, delegando la captura del dato sensible al procesador vía iframe, redirect o elementos hosted (Stripe Elements, Adyen Components, equivalentes locales).
En Colombia y LATAM, las franquicias exigen niveles de validación según volumen anual de transacciones. [VERIFICAR: umbrales PCI DSS por nivel — Nivel 1: >6M tx/año Visa/Mastercard; Nivel 4: <20k tx/año]. Un comercio Nivel 1 requiere auditoría anual por QSA y escaneos trimestrales por ASV; los niveles inferiores suelen resolver con self-assessment y ASV scan.
Con PCI DSS v4.0 (en vigor desde [VERIFICAR: fecha exacta de obligatoriedad PCI DSS v4.0 — marzo 2025]) hay requisitos nuevos que impactan directamente al ecommerce:
- Inventario y monitoreo de scripts ejecutados en la página de pago (requisito 6.4.3, pensado contra Magecart).
- Autenticación multifactor reforzada para accesos administrativos.
- Gestión de riesgos documentada para controles personalizados.
- Detección de cambios no autorizados en el HTTP header y cabeceras de seguridad.
Cumplir PCI no es un proyecto puntual: es un proceso continuo de segmentación de red, gestión de claves, registro de actividad y pruebas de intrusión periódicas.
Fraud prevention: stack técnico
Un stack antifraude efectivo opera en capas, cada una filtrando un tipo distinto de señal. La clave es minimizar fricción al cliente legítimo mientras se detiene el tráfico automatizado y las transacciones de alto riesgo.
| Capa | Función | Ejemplo de controles |
|---|---|---|
| Edge / bot management | Filtra tráfico automatizado antes del origen | WAF, rate limiting, CAPTCHA adaptativo, device fingerprinting |
| Identity / login | Detecta ATO y credential stuffing | MFA, detección de patrones de login, bloqueo por velocidad |
| Checkout risk scoring | Evalúa probabilidad de fraude por transacción | Machine learning, reglas de velocidad, listas negras/blancas |
| Post-authorization | Revisa patrones tras la aprobación del emisor | Análisis de chargeback, revisión manual, 3DS2 step-up |
Los motores de scoring modernos combinan señales estáticas (BIN, país, monto) con señales de comportamiento (tiempo en la página, patrones de tecleo, cambios recientes de cuenta). [VERIFICAR: tasa típica de falso positivo en motores antifraude ecommerce — ~2-5% según Signifyd/Forter]. Reducir ese falso positivo tiene impacto directo en revenue: cada legítimo bloqueado es una venta perdida y un cliente que probablemente no vuelve.
3DS2, tokenization, encryption at rest
3-D Secure 2 (3DS2) es el estándar de autenticación que traslada parte del riesgo de fraude al emisor de la tarjeta. A diferencia de 3DS1, 3DS2 envía más de [VERIFICAR: número exacto de data points 3DS2 — ~100 parámetros] al emisor para que decida autenticación frictionless (sin reto al usuario) o challenge (OTP, biometría). Bien implementado, 3DS2 sube la tasa de aprobación y elimina el chargeback por fraude en la mayoría de jurisdicciones.
La tokenización reemplaza el PAN por un token que solo tiene sentido dentro de un dominio específico (tu procesador, tu wallet). Dos beneficios concretos: reduce el scope PCI (el token no es dato sensible) y habilita pagos recurrentes sin almacenar la tarjeta. Los tokens pueden ser de red (Visa Token Service, Mastercard MDES) o de procesador; los primeros son portables entre gateways.
La encryption at rest protege los datos persistidos: base de datos de pedidos, backups, logs, colas de procesamiento. Usa AES-256 con claves gestionadas en un KMS (AWS KMS, Google Cloud KMS, Azure Key Vault) y rota llaves al menos anualmente. Separa las llaves de los datos y aplica el principio de mínimo privilegio a los roles que pueden invocar decrypt. Para el contexto más amplio de gobernanza, revisa nuestra guía de ciberseguridad empresarial 2026.
Auditoría de seguridad ecommerce: checklist
Usa esta checklist como punto de partida para un assessment trimestral. No reemplaza un pentest formal, pero identifica los gaps de mayor impacto en pocas horas.
- Alcance PCI: ¿el PAN entra alguna vez a tu infraestructura? Si sí, ¿puedes delegarlo al procesador?
- Inventario de scripts de terceros en checkout (tags, pixels, chatbots). Documenta cada uno, su dominio origen y qué datos puede leer.
- CSP (Content Security Policy) estricta en páginas de pago, con reporting activo.
- SRI (Subresource Integrity) en scripts externos críticos.
- MFA obligatoria para admin, backoffice, panel de producto y acceso a base de datos.
- Rate limiting en endpoints de login, registro, recuperación de contraseña y checkout.
- Bot management con device fingerprinting, no solo CAPTCHA.
- Escaneo ASV trimestral si aplica PCI y pentest anual por tercero.
- Logs centralizados con retención mínima de [VERIFICAR: retención PCI DSS — 12 meses, 3 meses online] y alertas en tiempo real sobre eventos críticos.
- Plan de respuesta a incidentes probado (tabletop al menos una vez al año).
- Backups cifrados y probados, con RTO/RPO documentados.
- Gestión de secretos fuera del código (vault, secret manager). Nada de claves en .env commiteados.
- Dependencias actualizadas: SCA en el pipeline, bloqueo de builds con CVEs críticos.
También conviene tener visibilidad sobre los servicios de seguridad cloud que cubren la capa de infraestructura, especialmente si tu tienda corre en arquitectura distribuida.
Próximo paso
Un ecommerce sin controles específicos de fraude, PCI y protección del checkout opera con riesgo acumulado: cada campaña de tráfico amplifica la exposición. Si estás evaluando tu madurez de seguridad o planificando migrar a una plataforma más robusta, contáctanos para un diagnóstico de 30 minutos enfocado en tu stack actual.
Preguntas frecuentes
¿Qué nivel de PCI DSS aplica a mi tienda?
Depende del volumen anual de transacciones por franquicia. La mayoría de pymes cae en Nivel 4 con SAQ A o SAQ A-EP si delegan la captura del PAN al procesador. Consulta con tu adquiriente el nivel específico antes de invertir en controles.
¿3DS2 reduce la conversión?
Bien implementado, la mayoría de transacciones pasan como frictionless (sin reto al usuario) y el impacto en conversión es mínimo. El beneficio compensa: traslada la responsabilidad del fraude al emisor en la mayoría de regulaciones. El daño a conversión suele venir de implementaciones que no envían suficientes data points al emisor.
¿Cómo detecto si tengo Magecart en mi checkout?
Revisa los scripts cargados en la página de pago (DevTools > Network), compáralos contra tu inventario autorizado, implementa CSP con report-only primero y activa SRI. Herramientas de monitoreo client-side (Feroot, Jscrambler, similares) detectan inyecciones en tiempo real.
¿Vale la pena tokenizar si ya uso un gateway hosted?
Sí, para pagos recurrentes, one-click checkout y portabilidad entre gateways. La tokenización de red (Visa/Mastercard) además mejora tasas de aprobación porque los tokens se actualizan automáticamente cuando la tarjeta se renueva.
¿Cada cuánto debo hacer pentest en mi ecommerce?
PCI DSS exige pentest anual y tras cualquier cambio significativo en la infraestructura. Recomendamos complementar con escaneo ASV trimestral, SAST/DAST en el pipeline y un bug bounty si el volumen lo justifica.
¿Qué logs son críticos guardar?
Eventos de autenticación (éxito y fallo), cambios de privilegios, acceso a datos de tarjeta, transacciones y sus decisiones antifraude, cambios de configuración y errores de aplicación. PCI DSS exige retención mínima de 12 meses con al menos 3 meses accesibles online.
¿Necesitas reforzar la seguridad de tu plataforma?
Agenda un diagnóstico gratuito con nuestro equipo.
Hablar con un experto