La situación actual de crisis sanitaria provocada por la COVID-19 y su importante impacto en la economía ha hecho que muchas empresas tengan que reinventarse para tratar de seguir a flote.
Una de las soluciones más adoptadas es trasladar el negocio físico al online, algo que ha acelerado la reconversión de múltiples negocios durante los últimos meses. Solo el año pasado los españoles gastaron 11,78 millones de euros en compras online, según los datos del Instituto Nacional de Estadística (INE), lo que ya supuso un crecimiento del 12,5% respecto a 2018 y un 78,4% más que en 2016.
Sin embargo, esta reconversión al comercio electrónico no viene sin riesgos aparejados, riesgos que pueden poner en problemas los datos de los clientes y la reputación de la empresa.
La implementación de una plataforma de comercio electrónico es algo que se ha simplificado mucho durante los últimos años, y ahora cualquier comercio puede tener presencia y comenzar a vender sus productos o servicios a clientes de todo el mundo de una manera rápida gracias a las plataformas de e-commerce. No obstante, los delincuentes también son conscientes de este hecho y han multiplicado sus ataques a todo tipo de comercios que no tienen debidamente protegidas sus plataformas de e-commerce.
Aumentan los robos
Actualmente estamos observando como se multiplican los casos de robos relacionados con tarjetas de crédito utilizando una técnica conocida como e-skimming. Para quienes no la conozcan, es la traslación al mundo online de los casos de skimming físicos, donde los delincuentes colocaban dispositivos especialmente diseñados para instalarse en cajeros automáticos y otros sistemas de pago como los que existen en gasolineras desatendidas.
A pesar de no ser el primer incidente de este tipo, el robo de datos relacionados con hasta 380.000 pagos realizados con tarjeta de crédito sufrido por la aerolínea British Airways en 2018 supuso un punto y aparte en este tipo de ataques, tanto por la magnitud como por la importancia de la empresa afectada. Al año siguiente, este incidente le supuso a la compañía una multa ejemplar de nada menos que 183 millones de libras por incumplir el Reglamento General de Protección de Datos.
Desde entonces, los casos similares en plataformas de e-commerce han seguido apareciendo cada cierto tiempo, siendo algunos de los más importantes muy recientes, ya que hace tan solo un par de semanas supimos del ataque a más de 2.000 tiendas online creadas con la plataforma de e-commerce Magento, una de las más extendidas en la actualidad.
En este ataque, la información personal de miles de clientes de las tiendas que se vieron afectadas fue comprometida en una campaña automatizada realizada a escala global, ataques que son conocidos como MageCart. Debido a su popularidad, Magento es una de las plataformas más atacadas por los delincuentes.
El robo de datos relacionados con hasta 380.000 pagos realizados con tarjeta de crédito sufrido por British Airways en 2018 supuso un punto y aparte
En este tipo de ataques, los delincuentes introducen código malicioso en la web del comercio para conseguir así los datos de las tarjetas de crédito de los clientes que realicen compras en ella.
Este ataque se realizó a lo largo de todo un fin de semana y afectó principalmente a aquellas tiendas online que utilizaban la versión 1 de Magento, una versión que terminó su ciclo de vida el pasado mes de junio. No obstante, varias webs con la versión 2 también se vieron afectadas.
La seguridad, ante todo
Este tipo de incidentes demuestra que la implementación de un sistema de comercio online no debe hacerse a la ligera. La situación actual ha provocado que se multiplique el número de negocios que dan el paso a la venta online, como así lo demuestran los beneficios durante los últimos meses de algunas de las plataformas más destacadas.
Además, no es solo que se utilicen plataformas dedicadas de comercio electrónico, ya que la simplificación ha hecho que incluso se pueda disponer de una web con posibilidad de venta online simplemente instalando un complemento en WordPress. Sin embargo, esto debe hacerse siendo conscientes de los riesgos en los que se puede incurrir, ya que un mal mantenimiento, dejando sin actualizar tanto el sitio web como los complementos o incluso los temas utilizados, puede provocar que los atacantes consigan su objetivo de obtener de forma ilícita los datos correspondientes a las tarjetas de crédito de miles de personas en un breve periodo de tiempo, infectando cientos de sitios web vulnerables.
Un aspecto importante que los propietarios de un comercio electrónico deben saber, independientemente de su volumen de negocio, es la necesidad de conocer y cumplir los reglamentos relacionados con la protección de datos de sus clientes.
Es necesario que la plataforma de 'e-commerce' esté actualizada a la última versión disponible
Con la aplicación del Reglamento General de Protección de Datos en 2018, todo incidente en el que se vea comprometida la información almacenada de los usuarios debe ser hecho público en un breve espacio de tiempo si no se han adoptado medidas como el cifrado de la información.
Esto supone un golpe múltiple para aquellos negocios online que no cumplan con las medidas de seguridad esenciales, ya que no solo sufren una pérdida de reputación entre los usuarios, sino que se ven obligados a responder por el incidente sufrido y se arriesgan a afrontar multas que, en algunos casos, pueden ser cuantiosas, tal y como vimos en el caso de British Airways.
Suplantación de identidad
Tampoco debemos olvidar los casos de phishing o suplantación de sitios webs legítimos, que a pesar de ser una de las amenazas informáticas con mayor recorrido, sigue estando muy vigente, con muchos casos reportados durante los últimos meses.
De hecho, en el segundo trimestre del año, según los datos de ESET, hubo un aumento exponencial de los correos electrónicos de phishing, dirigidos a compradores online, que se hacen pasar por uno de los principales servicios de paquetería del mundo. En este sentido, el volumen fue diez veces mayor que en el primer trimestre del año.
En este contexto, ya no es solo que los usuarios accedan a sitios web buscando gangas en páginas que simulan ser oficiales y que solo pretenden quedarse con los datos de las tarjetas bancarias.
El phishing ha evolucionado a lo largo de los años, y a pesar de que muchas de las campañas usadas pueden ser identificadas de forma relativamente sencilla si el usuario se fija en algunos puntos clave, aún son muchos los que caen en las trampas preparadas por los delincuentes. En periodos de compras intensas como las de Navidad, no es extraño ver como aparecen nuevas webs con precios imbatibles.
La posibilidad de incluir un certificado válido que permita mostrar el conocido como "candado verde" también juega a favor de los delincuentes, ya que muchos usuarios siguen pensando que este indicativo significa que la web es segura cuando lo único que certifica es que la conexión entre su sistema y la web a la que accede es segura, no que la web lo sea.
Los propietarios de una web de comercio electrónico pueden adoptar medidas para evitar ser víctimas de este tipo de incidente. En primer lugar, es necesario que la plataforma de e-commerce esté actualizada a la última versión disponible. De esta forma se evitarán muchos de los ataques automatizados.
En periodos de compras intensas como las de Navidad, no es extraño ver como aparecen nuevas webs con precios imbatibles
También es una buena opción para aquellos comercios que no quieran asumir la responsabilidad de gestionar los datos recopilados de sus clientes que cedan esta responsabilidad a una plataforma de pago externa y de confianza que realice esta gestión. En caso de se decida almacenar esta información, siempre deberemos tenerla cifrada para que un atacante no pueda utilizarla inmediatamente tras robarla.
Como usuarios también podemos adoptar medidas, por ejemplo, revisando los movimientos de la cuenta asociada a nuestra tarjeta y denunciando a nuestro banco cualquier movimiento sospechoso. En cualquier caso, debemos estar atentos, puesto que no parece que los ciberdelincuentes vayan a detener su actividad a corto plazo, al menos en lo que respecta a seguir atacando sitios web de e-commerce.
