Los datos de las cuentas se venden o comercializan fácilmente

Akamai (NASDAQ: AKAM)ha publicado el informe sobre el Estado de Internet y la Seguridad: Programas de fidelización. Fraude en retail y en hostelería. El informe detalla las actividades delictivas dirigidas a los sectores de retail, los viajes y la hostelería con ataques de todo tipo y tamaño entre julio de 2018 y junio de 2020. El informe también incluye numerosos ejemplos de anuncios delictivos de la darknet que ilustran cómo aprovechar los resultados de ataques exitosos y del correspondiente robo de datos.

«Los delincuentes no son exigentes, utilizan de alguna manera cualquier cosa a la que puedan acceder” dijo Steve Ragan, investigador experto en seguridad de Akamai y autor del informe sobre el Estado de Internet / Seguridad. «Por eso el credential stuffing se ha vuelto tan popular en los últimos años. Hoy en día, los perfiles de comercio y fidelidad contienen una gran cantidad de información personal y, en algunos casos, también información financiera. Todos estos datos pueden ser recopilados, vendidos y comercializados o incluso compilados para perfiles extensos que pueden ser utilizados más tarde para delitos como el robo de identidad».

Durante los confinamientos relacionados con la pandemia de COVID-19 en el primer trimestre de 2020, los delincuentes aprovecharon la situación mundial y distribuyeron listas de combinaciones de contraseñas, dirigidas a cada una de las industrias comerciales que figuran en el informe. Fue durante este tiempo cuando los criminales comenzaron a recircular viejas listas de credenciales en un esfuerzo por identificar nuevas cuentas vulnerables, lo que llevó a un aumento significativo del inventario criminal y de las ventas relacionadas con los programas de fidelización.

Entre julio de 2018 y junio de 2020, se observaron más de 100 mil millones de ataques de credential stuffing en total. En la categoría de comercio -que comprende las industrias de comercio, viajes y hostelería- se registraron 63.828.642.449. Más del 90% de los ataques en la categoría de comercio se dirigieron a la industria del retail.

El credential stuffing no es la única forma en que los criminales apuntan a los sectores de retail, viajes y hostelería. Se dirigen a las organizaciones de estas industrias en la fuente mediante ataques de inyección SQL (SQLi) e inclusión de archivos locales (LFI). Entre julio de 2018 y junio de 2020, Akamai observó 4.375.711.860 ataques Web contra el comercio, los viajes y la hostelería, lo que supone un 41% del volumen total de ataques en todos los sectores. Dentro de este conjunto de datos, el 83% de esos ataques web se dirigieron únicamente al sector del comercio. Los ataques SQLi son los favoritos de los delincuentes, ya que representan casi el 79% del total de los ataques a aplicaciones web contra retail, viajes y hostelería.

Mientras la economía global se prepara para la temporada de compras navideñas, lo hace en un entorno que ha cambiado radicalmente debido a la pandemia. Los consumidores no irán a las tiendas tradicionales buscando las últimas ofertas en los escaparates, como solían hacer en el pasado. Se conectarán, recogerán sus puntos de recompensa, y tal vez usarán programas de fidelización para obtener algunos descuentos u otras ventajas sólo por el hecho de ser socios.

Considerando todo lo que incluye un programa de fidelización exitoso, y la información que los usuarios proporcionan para participar, los criminales tienen todo lo que necesitan para comenzar en un número de empresas relacionadas con el crimen, desde toma de cuentas, hasta el robo de identidad. Así que, mientras que la fidelidad de un usuario a un comercio determinado, aerolínea o cadena de hoteles puede no estar literalmente a la venta, hay muchas posibilidades de que la cuenta asociada a tales programas sí lo esté. 

«Todos los negocios necesitan adaptarse a los acontecimientos externos, ya sea una pandemia, un competidor o un atacante activo e inteligente», concluyó Ragan. «Algunos de los principales programas de fidelización dirigidos no requieren más que un número de móvil y una contraseña numérica, mientras que otros se basan en información fácil de obtener como medio de autenticación. Existe una necesidad urgente de mejorar los controles de identidad y las contramedidas para prevenir los ataques contra las API y los recursos de los servidores».