Los ataques DoS, el formjacking y el phishing ponen en riesgo el comercio online

  • Endpoint

La Navidad es una alegría para las ventas online, y también para los ciberdelincuentes, que sacan tajada de la falta de precaución de los usuarios y de la escasa prevención de los comercios ante posibles ciberdelitos. Usuarios y tiendas online deben asegurar sus actividades online.

Desde ataques de denegación de servicio (DoS), capaces de lograr el cierre de las tiendas en su mejor momento de ventas, hasta campañas de ransomware, que solicitan un rescate económico a cambio de devolver el control de los datos secuestrados, la actividad online está llena de peligros, y más en estas fechas en las que aumentan la actividad comercial en la red.

El formjacking, el robo de los datos que introducimos en los formularios online, es una de las tácticas de ataque más comunes. Según el informe de F5 Labs Application Protection Report 2019, es responsable del 71% de las brechas de datos relacionadas con los sitios web que se analizaron en dicho informe.

El phishing también es una de las técnicas favoritas. Con el phishing, los ciberdelincuentes no tienen que preocuparse por hackear un firewall, encontrar un exploit de día cero, descifrar lo cifrado o descender por el foso de un ascensor con un juego de ganzúas entre sus dientes. La parte más complicada es crear un truco que consiga que las personas hagan clic en un link o se metan en un sitio web falso.

Para David Warburton, Principal Threat Evangelist en F5 Networks, usuarios y tiendas online deben compartir responsabilidades en la seguridad de sus actividades online. “La seguridad tiene que estar por encima del ruido que generan las ofertas en épocas como la navideña. Si no es así, lo más probable es que las ventas acaben cayendo, los datos sean robados y la reputación de la empresa se ponga en entredicho. La lucha contra el cibercrimen es una responsabilidad compartida en la que cada parte debe asumir su papel”.

En los que respecta a los usuarios, una amplia oferta de productos con precios atractivos logra que todos, incluso los usuarios más concienciados, bajen la guardia. Por ello deberían de tener siempre en mente los siguientes consejos para garantizar su seguridad:

• No utilizar motores de búsqueda a la hora de encontrar una tienda con el producto que desean, e ir directamente a sitios de confianza.

• Revisar la web, ya que, aunque los sitios falsos son cada vez más perfectos, los errores de gramática, de redacción o de diseño suelen ser claros síntomas de que nos encontramos en una web peligrosa.  

• Comprar solo en páginas con el prefijo 'https' y con el símbolo del candado en el navegador. Sin embargo, no hay que tomar este consejo como una verdad absoluta, ya que cada vez más phishers utilizan el prefijo https para dar la imagen de que se trata de un sitio legítimo.

• Contar hasta diez antes de hacer click en cualquier link o en abrir cualquier archivo adjunto. Las marcas nunca piden información personal o financiera a través de un e-mail.

• Desconfiar si una tienda pide hacer un pago a través de un tercero. Ante cualquier sospecha, contactar con la tienda y confirmar el proceso.

En cuanto a los minoristas, necesitan proteger tanto sus operaciones como a sus clientes. Los costes de las brechas de seguridad son significativos. Según el estudio de IBM 2019 Cost of a Data Breach Report, cada dato robado tiene un coste para la tienda de 119 dólares, estimando que cada año este valor se incrementa en un 1,7%. Por ello F5 les recomienda:

• Disponer de herramientas antifraude para determinar inconsistencias en las transacciones, como el uso de la tarjeta de un cliente habitual en un dispositivo extraño.  

• Contar con herramientas de verificación, incluida una autenticación multifactor (MFA). Es un sistema de seguridad a prueba de phishing, que evita que las credenciales robadas se usen desde una ubicación inesperada o dispositivo desconocido. Idealmente, el cifrado de la capa de aplicación también puede complementarse con los protocolos TLS/SSL para mantener la confidencialidad a nivel de navegador.

• Proteger a los consumidores. Los ciberdelincuentes buscan a los usuarios más pobremente protegidos. La tokenización y el cifrado en la aplicación pueden proteger la información personal y financiera durante el proceso.

• Crear un inventario de aplicaciones web. Debe abarcar una auditoría exhaustiva del contenido de terceros. El proceso es complicado debido a que esos terceros vinculan a otros sitios web que pueden presentar controles de seguridad deficientes.  

• Escanear vulnerabilidades, ejecutando exploraciones externas para obtener una visión clara de la actividad de los hackers.  

• Supervisar los cambios de código. Independientemente de dónde se aloje el código, es importante mantenerlo bajo control, lo que supone monitorizar los buckets GitHub y AWS S3, así como los repositorios de código nativo.

• Implementar soluciones de filtrado web, para evitar que los usuarios visiten sin darse cuenta sitios de phishing. Cuando un usuario hace clic en un enlace, la solución bloquea el tráfico saliente.

• Inspeccionar el tráfico cifrado en busca de malware. Es vital descifrar el tráfico interno antes de enviarlo a las herramientas de detección de incidentes para la revisión de infecciones.

• Mejorar los mecanismos de reporte. La respuesta ante incidentes debería incluir un método simplificado para que los usuarios puedan alertar de posibles phishings.