Navidad, prueba de fuego para la seguridad del comercio online
Como cada año, la llegada de la Navidad es una alegría para las ventas online. También para los ciberdelincuentes, que siempre sacan tajada de la necesidad de los usuarios a la hora de resolver sus regalos de la forma más rápida y cómoda posible, como de la escasa prevención de los comercios ante posibles ciberdelitos.
Desde ataques de denegación de servicio (DoS), capaces de lograr el cierre de las tiendas en su mejor momento de ventas, hasta campañas de ransomware que solicitan un rescate económico a cambio de devolver el control de los datos secuestrados, la actividad online está llena de peligros.
El formjacking, el robo de los datos que introducimos en los formularios online, ya se ha convertido también una de las tácticas de ataque más comunes, según el informe de F5 Labs Application Protection Report 2019, siendo responsable del 71% de las brechas de datos relacionadas con los sitios web que se analizaron en dicho informe.
Asimismo, a medida que más aplicaciones web se conectan a los componentes críticos, tales como carros de compra , tarjetas de pago, publicidad, etc., los vendedores se convierten en un blanco cada vez fácil. El código puede entregarse desde una amplia gama de fuentes, casi todas situadas más allá de los límites de los controles tradicionales de seguridad. Dado que son muchos los sitios web que hacen uso de los mismos recursos de terceros, los hackers solo necesitan comprometer un único componente para poder conseguir los datos de un gran número de víctimas potenciales.
El phishing también es una de las técnicas favoritas. Con el phishing, los ciberdelincuentes no tienen que preocuparse por hackear un firewall, encontrar un exploit de día cero, descifrar lo cifrado o descender por el foso de un ascensor con un juego de ganzúas entre sus dientes. La parte más complicada es crear un truco que consiga que las personas hagan clic en un link o se metan en un sitio web falso.
Sensibilización de los consumidores
Una amplia oferta de productos con precios atractivos logra que todos, incluso los usuarios más concienciados, bajen la guardia. Por ello deberíamos tratar de tener siempre en mente los siguientes consejos para garantizar nuestra seguridad:
• No utilizar motores de búsqueda a la hora de encontrar una tienda con el producto que deseamos. Ir directamente a sitios de confianza.
• Aunque los sitios falsos son cada vez más perfectos, los errores de gramática, de redacción o de diseño suelen ser claros síntomas de que nos encontramos en una web peligrosa.
• Comprar solo en páginas con el prefijo 'https' y con el símbolo del candado en el navegador. Sin embargo, no hay que tomar este consejo como una verdad absoluta. Cada vez más phishers utilizan el prefijo https para dar la imagen de que se trata de un sitio legítimo.
• Contar hasta diez antes de hacer click en cualquier link o en abrir cualquier archivo adjunto. Las marcas nunca piden información personal o financiera a través de un e-mail.
• Desconfiar si una tienda nos pide hacer un pago a través de un tercero. Ante cualquier sospecha, contactar con la tienda y confirmar el proceso.
El desafío para los minoristas
Los minoristas necesitan proteger tanto sus operaciones como a sus clientes. Los costes de las brechas de seguridad son significativos. Según el estudio de IBM 2019 Cost of a Data Breach Report, cada dato robado tiene un coste para la tienda de 119 dólares, estimando que cada año este valor se incrementa en un 1,7%.
Los requisitos de seguridad recomendados incluyen:
• Herramientas antifraude. Es esencial contar con los medios para determinar inconsistencias en las transacciones, como el uso de la tarjeta de un cliente habitual en un dispositivo extraño.
• Herramientas de verificación. Debe implementarse una autenticación multifactor (MFA). Es un sistema de seguridad a prueba de phishing, que evita que las credenciales robadas se usen desde una ubicación inesperada o dispositivo desconocido. Idealmente, el cifrado de la capa de aplicación también puede complementarse con los protocolos TLS/SSL para mantener la confidencialidad a nivel de navegador. Evolucionar los niveles de visibilidad y de control de la capa de aplicación puede mitigar los riesgos de inyección polimórficos y distribuidos.
• Proteger a los consumidores. Los ciberdelincuentes buscan a los usuarios más pobremente protegidos. La tokenización y el cifrado en la aplicación pueden proteger la información personal y financiera durante el proceso.
• Crear un n inventario de aplicaciones web. Debe abarcar una auditoría exhaustiva del contenido de terceros. El proceso es complicado debido a que esos terceros vinculan a otros sitios web que pueden presentar controles de seguridad deficientes.
• Escaneo de vulnerabilidades. Los CISO dan cada vez más importancia a la ejecución de exploraciones externas para obtener una visión clara de la actividad de los piratas informáticos.
• Supervisar los cambios de código. Independientemente de dónde se aloje el código, es importante mantenerlo bajo control, lo que supone monitorizar los buckets GitHub y AWS S3, así como los repositorios de código nativo.
• Implementar soluciones de filtrado web para evitar que los usuarios visiten sin darse cuenta sitios de phishing. Cuando un usuario hace clic en un enlace, la solución bloquea el tráfico saliente.
• Inspeccionar el tráfico cifrado en busca de malware. El tráfico de malware que se comunica con servidores de comando y control (C&C) a través de túneles cifrados es indetectable en tránsito sin algún tipo de gateway de descifrado. Es vital descifrar el tráfico interno antes de enviarlo a las herramientas de detección de incidentes para la revisión de infecciones.
• Mejorar los mecanismos de reporte. La respuesta ante incidentes debería incluir un método simplificado para que los usuarios puedan alertar de posibles phishings.
La seguridad tiene que estar por encima del ruido que generan las ofertas en épocas como la navideña. Si no es así, lo más probable es que las ventas acaben cayendo, los datos sean robados y la reputación de la empresa se ponga en entredicho. La lucha contra el cibercrimen es una responsabilidad compartida en la que cada parte debe asumir su papel.
David Warburton, Principal Threat Evangelist en F5 Networks