Los programas de fidelización como blanco de los ciberdelincuentes

23 octubre, 2020
5 Compartido 1,245 Visualizaciones

Los datos de las cuentas se venden o comercializan fácilmente

Akamai (NASDAQ: AKAM)ha publicado el informe sobre el Estado de Internet y la Seguridad: Programas de fidelización. Fraude en retail y en hostelería. El informe detalla las actividades delictivas dirigidas a los sectores de retail, los viajes y la hostelería con ataques de todo tipo y tamaño entre julio de 2018 y junio de 2020. El informe también incluye numerosos ejemplos de anuncios delictivos de la darknet que ilustran cómo aprovechar los resultados de ataques exitosos y del correspondiente robo de datos.

«Los delincuentes no son exigentes, utilizan de alguna manera cualquier cosa a la que puedan acceder” dijo Steve Ragan, investigador experto en seguridad de Akamai y autor del informe sobre el Estado de Internet / Seguridad. «Por eso el credential stuffing se ha vuelto tan popular en los últimos años. Hoy en día, los perfiles de comercio y fidelidad contienen una gran cantidad de información personal y, en algunos casos, también información financiera. Todos estos datos pueden ser recopilados, vendidos y comercializados o incluso compilados para perfiles extensos que pueden ser utilizados más tarde para delitos como el robo de identidad».

Durante los confinamientos relacionados con la pandemia de COVID-19 en el primer trimestre de 2020, los delincuentes aprovecharon la situación mundial y distribuyeron listas de combinaciones de contraseñas, dirigidas a cada una de las industrias comerciales que figuran en el informe. Fue durante este tiempo cuando los criminales comenzaron a recircular viejas listas de credenciales en un esfuerzo por identificar nuevas cuentas vulnerables, lo que llevó a un aumento significativo del inventario criminal y de las ventas relacionadas con los programas de fidelización.

Entre julio de 2018 y junio de 2020, se observaron más de 100 mil millones de ataques de credential stuffing en total. En la categoría de comercio -que comprende las industrias de comercio, viajes y hostelería- se registraron 63.828.642.449. Más del 90% de los ataques en la categoría de comercio se dirigieron a la industria del retail.

El credential stuffing no es la única forma en que los criminales apuntan a los sectores de retail, viajes y hostelería. Se dirigen a las organizaciones de estas industrias en la fuente mediante ataques de inyección SQL (SQLi) e inclusión de archivos locales (LFI). Entre julio de 2018 y junio de 2020, Akamai observó 4.375.711.860 ataques Web contra el comercio, los viajes y la hostelería, lo que supone un 41% del volumen total de ataques en todos los sectores. Dentro de este conjunto de datos, el 83% de esos ataques web se dirigieron únicamente al sector del comercio. Los ataques SQLi son los favoritos de los delincuentes, ya que representan casi el 79% del total de los ataques a aplicaciones web contra retail, viajes y hostelería.

Mientras la economía global se prepara para la temporada de compras navideñas, lo hace en un entorno que ha cambiado radicalmente debido a la pandemia. Los consumidores no irán a las tiendas tradicionales buscando las últimas ofertas en los escaparates, como solían hacer en el pasado. Se conectarán, recogerán sus puntos de recompensa, y tal vez usarán programas de fidelización para obtener algunos descuentos u otras ventajas sólo por el hecho de ser socios.

Considerando todo lo que incluye un programa de fidelización exitoso, y la información que los usuarios proporcionan para participar, los criminales tienen todo lo que necesitan para comenzar en un número de empresas relacionadas con el crimen, desde toma de cuentas, hasta el robo de identidad. Así que, mientras que la fidelidad de un usuario a un comercio determinado, aerolínea o cadena de hoteles puede no estar literalmente a la venta, hay muchas posibilidades de que la cuenta asociada a tales programas sí lo esté. 

«Todos los negocios necesitan adaptarse a los acontecimientos externos, ya sea una pandemia, un competidor o un atacante activo e inteligente», concluyó Ragan. «Algunos de los principales programas de fidelización dirigidos no requieren más que un número de móvil y una contraseña numérica, mientras que otros se basan en información fácil de obtener como medio de autenticación. Existe una necesidad urgente de mejorar los controles de identidad y las contramedidas para prevenir los ataques contra las API y los recursos de los servidores».

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

CA Technologies actualiza su plataforma CA Automic One Automation para ofrecer automatización inteligente a las empresas
Actualidad
12 compartido1,777 visualizaciones
Actualidad
12 compartido1,777 visualizaciones

CA Technologies actualiza su plataforma CA Automic One Automation para ofrecer automatización inteligente a las empresas

Vicente Ramírez - 14 agosto, 2018

Las nuevas funcionalidades están diseñadas para mejorar las operaciones, automatizar tareas de desarrollo y eliminar los silos de la automatización.…

El fondo Thoma Bravo compra la británica Sophos por 3.583 millones
Actualidad
10 compartido1,123 visualizaciones
Actualidad
10 compartido1,123 visualizaciones

El fondo Thoma Bravo compra la británica Sophos por 3.583 millones

Alicia Burrueco - 21 octubre, 2019

Los títulos que Sophos tiene en circulación costarán, cada uno, 7,4 dólares. El fondo de inversión estadounidense Thoma Bravo ha firmado…

«Las empresas y la sociedad en general, deberán de vacunarse contra la ciberdelincuencia»
Actualidad
29 compartido2,858 visualizaciones
Actualidad
29 compartido2,858 visualizaciones

«Las empresas y la sociedad en general, deberán de vacunarse contra la ciberdelincuencia»

Redacción - 12 noviembre, 2019

Coches autónomos, smart homes, empresas 4.0, sanidad conectada y smart cities...¿cómo afrontar la incertidumbre y la seguridad en la época…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.