Facebook Linkedin Twitter Instagram Youtube Telegram

Navidad, prueba de fuego para la seguridad del comercio online

David Warburton, Principal Threat Evangelist en F5 Networks, sostiene que usuarios y tiendas online deben compartir responsabilidades en la seguridad de sus actividades online

Como cada año, la llegada de la Navidad es una alegría para las ventas online. También para los ciberdelincuentes, que siempre sacan tajada de la necesidad de los usuarios a la hora de resolver sus regalos de la forma más rápida y cómoda posible, como de la escasa prevención de los comercios ante posibles ciberdelitos.

Desde ataques de denegación de servicio (DoS), capaces de lograr el cierre de las tiendas en su mejor momento de ventas, hasta campañas de ransomware que solicitan un rescate económico a cambio de devolver el control de los datos secuestrados, la actividad online está llena de peligros.

El formjacking, el robo de los datos que introducimos en los formularios online, ya se ha convertido también una de las tácticas de ataque más comunes, según el informe de F5 Labs Application Protection Report 2019, siendo responsable del 71% de las brechas de datos relacionadas con los sitios web que se analizaron en dicho informe.

Asimismo, a medida que más aplicaciones web se conectan a los componentes críticos, tales como carros de compra , tarjetas de pago, publicidad, etc., los vendedores se convierten en un blanco cada vez fácil. El código puede entregarse desde una amplia gama de fuentes, casi todas situadas más allá de los límites de los controles tradicionales de seguridad. Dado que son muchos los sitios web que hacen uso de los mismos recursos de terceros, los hackers solo necesitan comprometer un único componente para poder conseguir los datos de un gran número de víctimas potenciales.

El phishing también es una de las técnicas favoritas. Con el phishing, los ciberdelincuentes no tienen que preocuparse por hackear un firewall, encontrar un exploit de día cero, descifrar lo cifrado o descender por el foso de un ascensor con un juego de ganzúas entre sus dientes. La parte más complicada es crear un truco que consiga que las personas hagan clic en un link o se metan en un sitio web falso.

Sensibilización de los consumidores

Una amplia oferta de productos con precios atractivos logra que todos, incluso los usuarios más concienciados, bajen la guardia. Por ello deberíamos tratar de tener siempre en mente los siguientes consejos para garantizar nuestra seguridad:

  • No utilizar motores de búsqueda a la hora de encontrar una tienda con el producto que deseamos. Ir directamente a sitios de confianza.
  • Aunque los sitios falsos son cada vez más perfectos, los errores de gramática, de redacción o de diseño suelen ser claros síntomas de que nos encontramos en una web peligrosa.
  • Comprar solo en páginas con el prefijo ‘https‘ y con el símbolo del candado en el navegador. Sin embargo, no hay que tomar este consejo como una verdad absoluta. Cada vez más phishers utilizan el prefijo https para dar la imagen de que se trata de un sitio legítimo.
  • Contar hasta diez antes de hacer click en cualquier link o en abrir cualquier archivo adjunto. Las marcas nunca piden información personal o financiera a través de un e-mail.
  • Desconfiar si una tienda nos pide hacer un pago a través de un tercero. Ante cualquier sospecha, contactar con la tienda y confirmar el proceso.

El desafío para los minoristas

Los minoristas necesitan proteger tanto sus operaciones como a sus clientes. Los costes de las brechas de seguridad son significativos. Según el estudio de IBM 2019 Cost of a Data Breach Report, cada dato robado tiene un coste para la tienda de 119 dólares, estimando que cada año este valor se incrementa en un 1,7%.

Los requisitos de seguridad recomendados incluyen:

  • Herramientas antifraude. Es esencial contar con los medios para determinar inconsistencias en las transacciones, como el uso de la tarjeta de un cliente habitual en un dispositivo extraño.
  • Herramientas de verificación. Debe implementarse una autenticación multifactor (MFA). Es un sistema de seguridad a prueba de phishing, que evita que las credenciales robadas se usen desde una ubicación inesperada o dispositivo desconocido. Idealmente, el cifrado de la capa de aplicación también puede complementarse con los protocolos TLS/SSL para mantener la confidencialidad a nivel de navegador.  Evolucionar los niveles de visibilidad y de control de la capa de aplicación puede mitigar los riesgos de inyección polimórficos y distribuidos.
  • Proteger a los consumidores. Los ciberdelincuentes buscan a los usuarios más pobremente protegidos. La tokenización y el cifrado en la aplicación pueden proteger la información personal y financiera durante el proceso.
  • Crear un n inventario de aplicaciones web. Debe abarcar una auditoría exhaustiva del contenido de terceros. El proceso es complicado debido a que esos terceros vinculan a otros sitios web que pueden presentar controles de seguridad deficientes.
  • Escaneo de vulnerabilidades. Los CISO dan cada vez más importancia a la ejecución de exploraciones externas para obtener una visión clara de la actividad de los piratas informáticos.
  • Supervisar los cambios de código. Independientemente de dónde se aloje el código, es importante mantenerlo bajo control, lo que supone monitorizar los buckets GitHub y AWS S3, así como los repositorios de código nativo.
  • Implementar soluciones de filtrado web para evitar que los usuarios visiten sin darse cuenta sitios de phishing. Cuando un usuario hace clic en un enlace, la solución bloquea el tráfico saliente.
  • Inspeccionar el tráfico cifrado en busca de malware. El tráfico de malware que se comunica con servidores de comando y control (C&C) a través de túneles cifrados es indetectable en tránsito sin algún tipo de gateway de descifrado. Es vital descifrar el tráfico interno antes de enviarlo a las herramientas de detección de incidentes para la revisión de infecciones.
  • Mejorar los mecanismos de reporte. La respuesta ante incidentes debería incluir un método simplificado para que los usuarios puedan alertar de posibles phishing.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.