Tu ecommerce maneja datos de pago: es un objetivo
Cualquier ecommerce que procese pagos con tarjeta es un objetivo para atacantes. Incluso si usas pasarelas externas (Stripe, Redsys), tu tienda sigue manejando datos personales de clientes, direcciones, historial de compras y sesiones autenticadas. Un test de intrusión (pentesting) identifica las vulnerabilidades antes de que lo hagan los atacantes.
Qué es un pentesting y en qué se diferencia de un escaneo
Un escaneo de vulnerabilidades es automático: una herramienta busca vulnerabilidades conocidas. Un pentesting es manual y creativo: un especialista en seguridad intenta penetrar tu sistema usando las mismas técnicas que usaría un atacante real. El pentesting encuentra vulnerabilidades de lógica de negocio y errores de configuración que los escaneos automáticos no detectan.
Qué se prueba en un ecommerce
Un pentesting de ecommerce cubre: autenticación y gestión de sesiones (bypass de login, robo de sesiones, escalada de privilegios), lógica de carrito y checkout (manipulación de precios, bypass de cupones, pedidos negativos), pasarela de pago (interceptación de datos, manipulación de callbacks), API REST (acceso no autorizado, inyección, rate limiting), y panel de administración (fuerza bruta, vulnerabilidades del CMS).
Vulnerabilidades típicas que encontramos
En nuestra experiencia con ecommerce, las vulnerabilidades más frecuentes son: IDOR (acceso a pedidos/datos de otros usuarios cambiando el ID en la URL), falta de rate limiting en login y checkout, plugins desactualizados con CVEs conocidos, APIs internas expuestas sin autenticación, y configuraciones de servidor inseguras (headers, CORS, directory listing).
PCI DSS y normativa
Si procesas, almacenas o transmites datos de tarjetas de crédito, estás sujeto a PCI DSS. Aunque uses una pasarela externa que reduce tu scope, necesitas cumplir ciertos requisitos de seguridad. Un pentesting anual es obligatorio para niveles PCI DSS 1 y 2, y altamente recomendado para todos los niveles.
Frecuencia y coste
Para un ecommerce, recomendamos un pentesting al menos anual, y después de cambios significativos (migración de plataforma, nueva pasarela de pago, rediseño completo). El coste varía entre 3.000€ y 10.000€ dependiendo del alcance. Es una fracción del coste de una brecha de datos, que según IBM puede superar los 4 millones de euros de media.
