Problemas de seguridad de Amazon y cómo solucionarlos

Hoy en día, es fácil ser víctima de estafas en Internet que pueden resultar en una gran pérdida de dinero o en la violación de la privacidad.

Desafortunadamente, esto a menudo puede suceder en sitios web que permiten que varias personas diferentes vendan artículos por sus propios medios, como productos usados ​​o de segunda mano.

Los compradores que usan Amazon pueden preguntarse qué tan seguro es realmente el sitio web. ¿Amazon es seguro, confiable y digno de confianza? Si deseas averiguarlo, lee este artículo. Pero antes, veamos un poco de historia de Amazon y cómo funciona.

Origen de Amazon

En 1995, Amazon.com vendió su primer libro, que se envió desde el garaje de Jeff Bezos en Seattle. En 2006, Amazon.com vende mucho más que libros y tiene sitios que prestan servicios en siete países, con 21 centros logísticos en todo el mundo que suman más de 9 millones de metros cuadrados de espacio de almacenamiento.

La historia es un sueño de comercio electrónico, y Jeff Bezos fue la Persona del año de la revista Time en 1999. La innovación y el conocimiento empresarial que sustentan a Amazon.com es legendaria y, a veces, controvertida: la empresa posee docenas de patentes en e- procesos comerciales que, según algunos, deberían permanecer en el dominio público.

Amazon.com vende montones y montones de cosas. El enfoque de ventas directas de Amazon al comprador no es realmente diferente de lo que sucede en la mayoría de los otros grandes minoristas en línea, excepto por su gama de productos. Puedes encontrar artículos de belleza, ropa, joyas, comida gourmet, artículos deportivos, artículos para mascotas, libros, CD, DVD, computadoras, muebles, juguetes, artículos de jardín, ropa de cama y casi cualquier otra cosa que desees comprar.

Lo que hace que Amazon sea un gigante está en los detalles. Además de su enorme gama de productos, Amazon hace todo lo posible por personalizar la experiencia del comprador.

Cuando llegues a la página de inicio, no solo encontrarás ofertas especiales y productos destacados, sino que, si has estado en Amazon.com antes, también encontrarás algunas recomendaciones exclusivas para ti. Amazon te conoce por tu nombre y trata de ser tu comprador personal.

¿Cómo funciona?

Las técnicas de marketing integradas que emplea Amazon para personalizar tu experiencia son probablemente el mejor ejemplo del enfoque general de ventas de la empresa: conozca muy, muy bien a su cliente. El seguimiento de clientes es un bastión de Amazon.

Si dejas que el sitio web pegue una cookie en tu disco duro, te encontrarás en el extremo receptor de todo tipo de funciones útiles que harán que tu experiencia de compra sea bastante interesante, como recomendaciones basadas en compras anteriores y listas de reseñas y guías escritas por usuarios que compraron los productos que estás viendo.

La otra característica principal que coloca a Amazon.com en otro nivel es la estrategia de comercio electrónico de múltiples niveles que emplea. Amazon.com permite que casi cualquier persona venda casi cualquier cosa usando su plataforma.

Puedes encontrar ventas directas de mercancías vendidas directamente por Amazon, como los libros que vendió a mediados de los 90 en el garaje de Jeff Bezos, solo que ahora se envían desde un almacén muy grande. Desde 2000, también puedes encontrar productos listados por vendedores externos: individuos, pequeñas empresas y minoristas como Target y Toys ‘R Us. Puedes encontrar bienes usados, bienes reacondicionados y subastas. Se podría decir que Amazon es simplemente el centro definitivo para vender mercancías en la Web, excepto que la compañía ha agregado recientemente un ángulo más extrovertido a su estrategia.

Además del programa de afiliados que permite que cualquiera que publique enlaces de Amazon gane una comisión sobre las ventas por clic, ahora existe un programa que permite a esos afiliados construir sitios web completos basados ​​en la plataforma de Amazon.

Siempre que las compras se realicen a través de Amazon, puedes crear un sitio llamado Amazonish.com, extraer productos directamente de los servidores de Amazon, escribir tus propias guías y recomendaciones y obtener una parte de las ventas. Amazon se ha convertido en el campo de juego de los desarrolladores de software.

Tecnología de Amazon

El núcleo tecnológico masivo que mantiene a Amazon en funcionamiento está completamente basado en Linux. En 2005, Amazon tiene las tres bases de datos Linux más grandes del mundo, con una capacidad total de 7,8 terabytes (TB), 18,5 TB y 24,7 TB respectivamente. El almacén de datos central de Amazon está compuesto por 28 servidores Hewlett Packard, con cuatro CPU por nodo, que ejecutan el software de base de datos Oracle 9i.

El almacén de datos se divide aproximadamente en tres funciones: consulta , datos históricos y ETL (extraer, transformar y cargar: una función principal de la base de datos que extrae datos de una fuente y los integra en otra). Los servidores de consultas (24,7 TB de capacidad) contienen 15 TB de datos brutos; los servidores de historial de clics (18,5 TB de capacidad) contienen 14 TB de datos sin procesar; y el clúster ETL (7,8 TB de capacidad) contiene 5 TB de datos brutos. La arquitectura tecnológica de Amazon maneja millones de operaciones de back-end todos los días, así como consultas de más de medio millón de vendedores externos.

En la temporada navideña de 2003, Amazon procesó un millón de envíos y 20 millones de actualizaciones de inventario en un día. El volumen de ventas de Amazon significa que cientos de miles de personas envían sus números de tarjetas de crédito a los servidores de Amazon todos los días, y la seguridad es una preocupación importante. Además de cifrar automáticamente los números de las tarjetas de crédito durante el proceso de pago, Amazon permite a los usuarios elegir cifrar cada información que ingresan, como su nombre, dirección y género.

Amazon emplea Netscape Secure Commerce Server mediante el protocolo SSL (capa de conexión segura). Almacena todos los números de tarjetas de crédito en una base de datos separada a la que no se puede acceder por Internet, lo que corta ese posible punto de entrada para los piratas informáticos. Los clientes que son particularmente cautelosos pueden optar por ingresar solo un número de tarjeta de crédito parcial a través de Internet y luego proporcionar el resto por teléfono una vez que se envía el pedido en línea.

Además de las preocupaciones de seguridad habituales con respecto a las compras en línea con tarjeta de crédito, Amazon sufre el mismo problema de phishing que ha afectado a eBay y PayPal, así que ten cuidado con los correos electrónicos falsos solicitando la información de tu cuenta de Amazon.com.

¿Cómo gestiona Amazon la ciberseguridad?

Diseñar sistemas y aplicaciones para manejar la cantidad de tráfico que un sitio como Amazon ve día a día, y sobre todo durante promociones como Prime Day, puede ser difícil en sí mismo. Agrega la complejidad de la ciberseguridad y quedará claro por qué tantos minoristas en línea tienen problemas para mantenerse al día.

Amazon en sí tiene una seguridad relativamente buena, pero ¿qué significa eso exactamente para los clientes? Veremos qué medidas tiene Amazon implementadas, qué significan y algunos pasos simples para reforzar la seguridad aún más.

SSL: mantiene el tráfico privado entre los clientes y el sitio web

La primera clave para una buena seguridad es asegurarse de que la información que pasa entre el cliente y el sitio web no pueda ser leída o tomada por un tercero. Secure Sockets Layer (SSL) es un mecanismo que encripta el tráfico web, lo que significa que solo aquellos en posesión de una clave (tu y el sitio web) pueden leer cualquiera de los datos.

Esto evita que alguien «olfatee» tu tráfico y lea en texto plano exactamente lo que estás haciendo. ¿Tienes que iniciar sesión? Si no se hace a través de una conexión SSL, tu nombre de usuario y contraseña se envían en texto sin formato al sitio web. Cualquiera que quiera puede interceptar ese tráfico y leer su contenido. Con SSL, el tráfico aún puede ser interceptado, pero debido a que está encriptado, los terceros solo ven galimatías.

Evaluamos SSL en función de tres categorías:

  • ¿Está encriptado? Esto parece simple, está activado o desactivado, ¿verdad? No exactamente. SSL se puede implementar «en parte» al tener solo ciertos sitios web detrás de las conexiones SSL. Esta es una práctica deficiente y puede conducir a un ataque intermedio, ya que los clientes pasan de carriles no cifrados a carriles cifrados. El cifrado debe estar habilitado en todos los ámbitos para todo el sitio web.
  • ¿Qué tan bien está encriptado? Diferentes fortalezas de cifrado, diferentes métodos de cifrado y diferentes necesidades significan que cada configuración SSL es única. Observamos qué tan bien encripta los datos el sitio web. SSL no significa nada si se basa en un conjunto de cifrado antiguo y vulnerable. Los sitios web deben utilizar lo último y lo mejor para mantener a sus clientes a salvo de las amenazas más recientes. Amazon hace un gran trabajo con esto.
  • ¿Cuán estrictamente se aplica? Verificamos si el sitio web permite conexiones que no sean SSL o si te obliga a regresar a un enlace SSL. Por ejemplo, si alguien crea un marcador y escribe http: // en lugar de https: //, podría omitir SSL por completo sin darse cuenta. Recuerda: SSL siempre debe aplicarse en todas las partes del sitio web. A pesar de tener una buena configuración de SSL, esta es una pieza que Amazon podría mejorar.

Información del encabezado: oculta los detalles del sitio web de los atacantes

Siempre ha sido una práctica que el software de servidor web se anuncie a los clientes. Siempre ha sido el trabajo de los administradores de sistemas desactivar eso. Hay muy, muy pocas razones legítimas por las que un visitante de un sitio web necesita saber qué tipo o versión de servidor web ejecuta el sitio. Pero, obviamente, hay muchas razones por las que alguien que busque atacar un sitio querría esa información.

A pesar de que a menudo es la configuración predeterminada, estos encabezados siempre deben estar ocultos para evitar que los piratas informáticos reduzcan rápidamente las rutas de ataque. Amazon tiene todos sus encabezados ocultos, pero muchos sitios no.

Cookies seguras: evita que el software malicioso del cliente se haga pasar por el cliente

Una cookie es un archivo en tu computadora que un sitio web almacena para rastrear varias cosas sobre ti. Estas podrían ser las preferencias del usuario, la ubicación y, lo que es más importante, tus credenciales. Si haces clic en un sitio web y no tienes que escribir tu nombre de usuario y contraseña cada vez, es probable que se deba a que hay una cookie almacenada en tu sistema que el sitio web lee que dice «hey, ¿me recuerdan?» Muy conveniente.

Solo hay un problema: ¿qué pasa si no estás usando la cookie para decir «oye, te acuerdas de mí?» El malware utiliza lo que se denomina ataques de secuencias de comandos entre sitios (XSS) para explotar las vulnerabilidades de las cookies y hacerse pasar por clientes. Hay buenas y malas noticias: existen métodos para ayudar a prevenir estos ataques y Amazon no los usa.

  • HttpOnly: esta opción de configuración evita que los scripts accedan a la cookie. Cuando el malware consulta la cookie, devuelve un espacio en blanco (en lugar de, por ejemplo, tus datos de inicio de sesión), que luego se envía al sitio web del pirata informático. Si esta opción de configuración no está establecida, envía los detalles de inicio de sesión. Esto debería ser una obviedad, ya que es, literalmente, poner en marcha el interruptor.
  • Seguro: este indicador garantiza que las cookies solo se transmitan a través de conexiones cifradas SSL. Al igual que los datos que ingresa manualmente, las cookies se pueden leer en tránsito si no están encriptadas en un túnel SSL. Dado que las cookies a menudo contienen la misma información confidencial que a las personas les preocupa escribir, deben protegerse con el mismo cuidado. No utilizar esta bandera significa que se permitirán las cookies en conexiones no cifradas, momento en el que son vulnerables a espionaje.

Todos los navegadores modernos pueden manejar estos indicadores de cookies, por lo que no hay razón para dejar esta configuración como está. Incluso si un navegador heredado recibe una solicitud de una cookie HttpOnly, solo obtendrá una cookie normal en su lugar. La bandera de seguridad requiere que todos los sitios web estén en SSL, lo cual es óptimo, pero si un sitio utiliza una configuración antigua en la que algunas páginas aún no están encriptadas, es probable que deban dejar la bandera de seguridad desactivada para que las cookies sigan funcionando para esas páginas.

Protección de correo electrónico y DNS: verifica que los correos electrónicos y las direcciones web sean reales

Probablemente hayas recibido correos electrónicos de Amazon: promociones, ofertas, detalles de pedidos, etc. Probablemente también hayas recibido correos electrónicos de personas que dicen ser Amazon y buscan robar tus credenciales. Estos se denominan correos electrónicos de suplantación de identidad (phishing) y engañan a las personas para que proporcionen los datos de su cuenta haciéndose pasar por un sitio web o un remitente legítimo. Entonces, ¿cómo puedes notar la diferencia?

Los protocolos de correo electrónico como SPF, DKIM y DMARC existen precisamente por esta razón. Estos mecanismos ponen información en Internet que dice “el correo de Amazon SOLO vendrá de estos servidores” y una lista de servidores de origen válidos. El correo electrónico supuestamente de Amazon pero que se origina en otro servidor de correo será detectado inmediatamente por no pasar la verificación SPF / DMARC y será rechazado como spam.

Todo esto sucede detrás de escena, con los servidores de correo haciendo todo el trabajo por ti. Pero si una empresa no usa estos mecanismos, los servidores de correo no tienen forma de saber si el correo es real o falso, por lo que se pasa a un humano, cuyo juicio es algo menos que infalible. Amazon utiliza estos mecanismos, una buena señal para una empresa que envía tantos correos electrónicos.

DNSSEC: cuando escribes amazon.com en tu navegador, ¿qué sucede? Tu solicitud va al servidor de nombres de dominio raíz .com, que dice «amazon.com está en la dirección única de 54.239.25.200» y envía tu computadora en su camino. Pero cuando se produce un pirateo de DNS exitoso, en lugar de obtener la dirección legítima del sitio web que deseas, obtienes una dirección de elección del pirata informático, generalmente una página ficticia para recopilar credenciales. DNSSEC es un mecanismo diseñado para evitar esto mediante la firma de respuestas de traducción de direcciones con una clave de cifrado. Las respuestas sin firmar son falsas y se tiran a la papelera, mientras que las respuestas firmadas pasan la prueba y continúan hasta el cliente.

Amazon no usa DNSSEC, ya que es relativamente nuevo y algo difícil de implementar. Sin embargo, dado que las comunicaciones en línea requieren más estabilidad e integridad, deberá implementar DNSSEC para garantizar la seguridad del cliente.

Calificación del CEO y de la empresa: mide el riesgo de violación de información privilegiada

Atrapar sus datos en tránsito es solo una de las formas en que los atacantes pueden acceder a ellos. Una vez que tu información está en los servidores de Amazon, también se puede acceder a ella a través de una filtración de datos, similar a la masiva que LinkedIn experimentó recientemente. Una forma común de violación de datos es una violación de información privilegiada, en la que alguien que ya tiene acceso a los datos los utiliza de manera indebida. Descubrimos que existe cierta correlación entre la felicidad de los empleados y la ciberseguridad.

Los empleados descontentos o los empleados en desacuerdo con la dirección ejecutiva y / o la dirección comercial tienen muchas más probabilidades de perpetuar una infracción interna o permitir que se produzca una infracción por negligencia. A Amazon le va bien en ambos, lo que reduce el riesgo de un incidente interno.

¿Amazon es confiable, seguro y digno de confianza en 2021?

Amazon.com está configurado para ser seguro y confiable para todos los clientes y proveedores. Amazon no hace que los clientes paguen tarifas sorpresa, protege toda la información personal y tiene recursos para ayudar a denunciar estafas y fraudes. También es confiable para cumplir con los pedidos, actualizando a sus clientes sobre el estado de sus paquetes.

¿Amazon tiene protección con contraseña?

Amazon ofrece la opción de utilizar la verificación de contraseña en dos pasos.

Cada vez que un cliente inicia sesión en su cuenta de Amazon, Amazon enviará un código de seguridad a su teléfono móvil, que debe ingresar antes de que pueda acceder a su cuenta.

Por lo tanto, si alguien ha pirateado su contraseña o accede a ella sin autorización, nadie podrá acceder a la cuenta de Amazon solo con la contraseña.

Amazon recomienda a los clientes que utilicen una combinación de caracteres especiales y números para agregar más protección a sus contraseñas al crear sus cuentas.

También tienen un Aviso de privacidad muy completo al que los clientes pueden acceder cuando tienen alguna inquietud sobre la seguridad de sus contraseñas.

¿Amazon oculta tu ubicación?

Amazon no compartirá las ubicaciones de los clientes con ninguna parte fuera de su mercado.

Si bien permiten a los vendedores de terceros en Amazon Marketplace acceder a los detalles de envío de los clientes, nunca revelan ninguna información adicional que sea irrelevante para realizar una venta, como se indica en su Aviso de privacidad.

¿Amazon mantiene protegidos los datos bancarios?

Amazon no divulga información bancaria personal a ninguna parte fuera del mercado de Amazon.

Los vendedores externos aprobados por Amazon pueden tener acceso a la información para cumplir con los pedidos correctamente.

Pero se adhieren estrictamente al Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) cuando manejan información sobre los datos de las tarjetas de crédito de los clientes.

Amazon también cuenta con dispositivos de seguridad para proteger contra cualquier acceso no autorizado o pérdida de datos de tarjetas de crédito / débito.

Estas funciones se pueden controlar desde las cuentas personales de los clientes.

Amazon también recomienda cerrar la sesión de las cuentas después de usar una cuenta en una computadora compartida para evitar aún más el acceso no autorizado a los detalles financieros.

¿Amazon cumple los pedidos correctamente?

A la hora de cumplir los pedidos, Amazon es muy confiable.

Después de que los clientes completen una compra, recibirán un correo electrónico de Amazon poco después con los detalles de su compra y la fecha estimada de llegada de su paquete.

Generalmente podrá cumplir con los pedidos realizados dentro de 1 a 7 días hábiles, según las velocidades de envío.

Además, esto puede variar con los vendedores externos, lo que puede tomar entre 1 y 21 días hábiles para completar un pedido.

¿Cómo puedo mantenerme seguro al realizar un pedido a través de Amazon?

Hay una serie de cosas que los clientes de Amazon pueden hacer para realizar pedidos de forma segura a través de Amazon.com.

Comunícate directamente con los vendedores externos

Puedes contactar al vendedor de un artículo directamente viendo el producto que deseas, haciendo clic en el nombre de usuario del vendedor y luego haciendo clic en Contactar con el vendedor en «Más información». Esto te permitirá preguntar al vendedor cualquier duda que tengas sobre su producto, desde su estado hasta su tiempo estimado de entrega.

Verifica las reseñas y calificaciones de un vendedor externo antes de comprar

Los clientes de Amazon pueden calificar y opinar sobre los vendedores externos, así que echa un vistazo a lo que la gente dice sobre ese vendedor para determinar si son confiables o no.

No realices pagos fuera del mercado de Amazon

Algunos vendedores pueden solicitarte que realices un pago por su mercancía fuera de Amazon. También pueden agregar que Amazon garantizará el pago, reembolsará tu dinero si no estás satisfecho o se les pagará lo que se les adeude una vez que finalice la transacción. Sin embargo, generalmente no es una buena idea aceptar esto, al menos por dos razones.

En primer lugar, es posible que el vendedor esté tratando de no tener que pagarle a Amazon ningún dinero por su venta. En segundo lugar, es posible que el vendedor esté realizando una estafa. Cuando sea posible, paga tu mercancía comprada en Amazon a través de Amazon para evitar complicaciones.

Ten cuidado con los correos electrónicos falsos

Ciertos correos electrónicos pueden parecer que provienen de Amazon, pero en realidad no lo son. Ten cuidado con los correos electrónicos que:

  • Provienen de una dirección de correo electrónico que no termina en «@ amazon.com «
  • Contienen confirmaciones de pedidos (especialmente archivos adjuntos) para los artículos que sabes que no ordenaste (¡no abras ni descargues los archivos adjuntos!)
  • Piden que actualices tu información de facturación
  • Piden información personal, incluido tu nombre de usuario o contraseña
  • Contienen enlaces a sitios web que no son parte de Amazon o sus derivados internacionales
  • Contienen errores ortográficos o gramaticales

En caso de duda, inicia sesión en tu cuenta de Amazon y verifica tu historial de pedidos y la configuración de tu cuenta. Si no hay nada fuera de lugar, es probable que se trate de un correo electrónico falso. Es mejor simplemente eliminarlo.

Si crees que pasa algo, intenta cambiar la contraseña de tu cuenta

Si crees que alguien ha descubierto cómo ingresar a tu cuenta, o podría saber cómo ingresar, ve a la configuración de tu cuenta y cambia tu contraseña. Esto puede confundirlos.

 Cuando hayas terminado de usar Amazon, cierra la sesión

Cerrar sesión en tu cuenta cuando hayas terminado de comprar o vender en el sitio web es especialmente importante cuando se usa una computadora que otras personas puedan usar más adelante (como una en un cibercafé, biblioteca u otra instalación pública). Esto evita que los extraños puedan iniciar sesión automáticamente en tu cuenta de Amazon y meterse con ella. Sin embargo, sigue siendo un buen consejo general.

La ciberseguridad puede ser difícil y compleja, pero solo con la integridad de los datos y la confianza del cliente en el medio, los negocios en línea pueden tener éxito. Prime Day puede parecer un buen truco ahora, pero si todos los que se inscribieron tuvieran sus datos comprometidos, sería una historia completamente diferente. Amazon tiene una seguridad decente, pero podría mejorarla en solo algunas áreas más.