Actualidad

El estado de la ciberseguridad en el comercio minorista: La mejor manera de defenderse

Por Jorge Marcos Fernández, director de Unidad de Negocio PEDM en WALLIX Ibérica

Tanto si hablamos de un gigante del retail como de una tienda pequeña, el riesgo de sufrir un ciberataque puede ser igual de grande en ambos casos. Los retailers guardan una gran cantidad de datos sensibles de sus clientes; ya sean sus nombres y direcciones hasta sus hábitos de consumo, tarjetas bancarias y otra información personal identificable. Toda una mina de oro para los ciberdelincuentes. Por ello, no es de extrañar que los ataques vayan en aumento. Sin embargo, la buena noticia es que existen medidas que pueden adoptar los retailers para impulsar sus defensas de seguridad.

Adoptando las tecnologías

Una de las principales razones por las que el sector retail es visto por los ciberdelincuentes como un objetivo importante es porque su infraestructura puede ser vulnerable y fáciles de penetrar. Los sistemas de los retailers suelen estar creados utilizando una combinación de diferentes tecnologías dispuestas a lo largo del tiempo. Habitualmente, una mezcla de infraestructura heredada junto con nuevos desarrollos cloud o innovaciones digitales. Por ejemplo, pensemos en los tradicionales sistemas frontales del punto de venta y las cajas registradoras, que son esenciales para dar soporte a los clientes en tienda. Pero a los que también suelen sumárseles algún tipo de sistema cloud para impulsar la parte eCommerce del negocio.

El estado tecnológico heterogéneo del comercio retail está impulsado en gran medida por el deseo y la necesidad del sector de ofrecer puntos de contacto omnicanal a los consumidores. Para seguir siendo competitivos, los retailers necesitan ofrecer comodidad a sus clientes, lo que significa facilitar diferentes formas de pago que les resulten sencillas y con las que estén familiarizadas. Como resultado, a menudo existe cierta reticencia a actualizar los sistemas e implementar nuevas y mejoradas cajas registradoras o sistemas TPV o POD (punto de venta, por sus siglas en inglés). Al fin y al cabo, ahora más que nunca, cada transacción cuenta y los retailers no quieren enfrentarse a sistemas complejos o a barreras que puedan dificultar sus ventas.

Sin embargo, estamos viendo que el sector busca actualizar su oferta digital y entrar en el espacio del eCommerce. La pandemia ha contribuido, sin duda, a impulsar esta tendencia, ya que muchos retailers se han visto obligados a adoptar métodos digitales para mantener sus negocios como única forma de continuar con sus ventas. Pero, si bien la combinación de estos sistemas más antiguos con los nuevos cumple los objetivos de eficiencia y escalabilidad de los retailers, también suponen múltiples oportunidades para posibles ataques por parte de los ciberdelincuentes. Y muchos minoristas, a menudo, no son conscientes de este riesgo que va en aumento.

Un negocio de riesgo en el retail

Entonces, ¿con qué frecuencia afectan realmente los ciberataques al sector retail? Las investigaciones apuntan a un aumento de la ciberdelincuencia, especialmente en el momento en el que muchos retailers emprenden su transformación digital. De hecho, datos del mercado español, muestran que más de la mitad (54%) de las empresas españolas del sector retail reconoce haber sufrido algún ciberataque. Además, el 83% de estos negocios retail españoles se ha enfrentado a amenazas procedentes de la red, muy por encima del 58% de media mundial.

También hay otras razones por las que el retail corre un especial riesgo de sufrir un ataque. Los datos de los clientes, por ejemplo, suelen considerarse a menudo de gran valor por la capacidad de acceder a información como los números de las tarjetas de crédito, algo que buscan bastante. Además, tradicionalmente existe una mayor rotación de personal en el sector retail. Algo que provoca que, sin una gestión adecuada, haya también un alto índice de accesos de cuentas privilegiadas a los sistemas.

El camino a seguir: simplificar y mejorar la seguridad

Todos estos riesgos de seguridad apuntan a la necesidad de contar con una sólida plataforma de gestión de accesos privilegiados. En pocas palabras, gestionar y asegurar el acceso privilegiado consiste en asegurarse de que ninguna persona tenga acceso completo a todos los datos. Significa implementar niveles de permisos y asegurarse de que, incluso si se conceden permisos, también se consideren otras medidas, además de la contraseña o credenciales necesarias como la ubicación y el tiempo de la solicitud. Esto significa que, ante cualquier indicio de peligro, como situaciones que resulten sospechosas, es posible identificarlas inmediatamente, protegiendo al negocio en caso de que un hacker robe las credenciales.

Muchos de los riesgos de ciberseguridad inherentes al retail están relacionados con los accesos privilegiados. Por lo que disponer de un sistema como éste es algo que puede añadir rápida y fácilmente una capa extra de protección, sin dejar de conceder el acceso cómo y cuándo sea necesario. Por ejemplo, controlando los accesos de los usuarios en un negocio de eCommerce se puede detener un posible ataque antes de que pueda causar un daño sistémico o extenderse por toda la empresa. Este tipo de acceso de los usuarios, los hackers los establecen como sus objetivos prioritarios, y gracias al sistema PAM, es posible contar con importantes niveles de seguimiento, aprobación y monitoreo para que los responsables de TI los controlen, auditen y analicen. También, las cuentas de usuario que quedan obsoletas son detectables, y cualquier credencial privilegiada puede ser fácilmente revocada, lo que evita que los hackers realicen ataques con éxito aprovechando cuentas caducadas del personal. Así mismo, las terceras partes, como pueden ser los proveedores, sólo pueden ver los sistemas que son relevantes para ellos y no pueden acceder o «rebotar» a sistemas que no les incumbe.

Una solución PAM robusta también asegura los componentes máquina a máquina (M2M) dentro de un sistema. Así, aunque un hacker consiga de algún modo el control de un dispositivo IoT en un almacén automatizado, por ejemplo, la solución PAM no concede acceso privilegiado a ese dispositivo. Por lo tanto, el hacker no podrá utilizarlo como plataforma desde la que seguir explotando el ciberataque. Para asegurar aún más el sistema, una solución PAM completa es capaz de supervisar en tiempo real toda la actividad de las sesiones privilegiadas, terminando automáticamente con las sesiones sospechosas o alertando a un administrador.

Mantener el cumplimiento y la seguridad

Este tipo de tecnologías no sólo mejoran significativamente la seguridad, sino que permite a la empresa seguir cumpliendo con las normas vigentes. El sector retail está sujeto a una amplia variedad de regulaciones con las que las empresas deben cumplir, como, por ejemplo, el PCI DSS, GDPR, NIST y SOX, entre otras. Además, junto con las capacidades de monitorización de sesiones, la solución PAM también graba y permite realizar búsquedas en cada una de estas, permitiendo que haya una pista de auditoría para ayudar a cumplir con todas las regulaciones. Las sesiones grabadas también son útiles para las revisiones de seguridad, así como para la formación de los miembros del equipo de seguridad.

La ciberseguridad en el sector retail no tiene por qué ser complicada, y los retailers tienen que llegar a un equilibrio entre nuevas y viejas tecnologías. Sin embargo, es esencial que empecemos a reconocer los riesgos, a implementar la tecnología PAM que es capaz de combatirlos y a comenzar a cambiar la situación, dando a conocer lo seguro e innovador que puede ser el espacio retail.

Redacción

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

Cómo mejorar la seguridad de la identidad en el sector financiero

Actualidad, Security Breaches

La Dark Web muestra que los ciberdelincuentes ya están preparados para los Juegos Olímpicos

#CyberConsejos

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks