Diciembre: cuando los hackers hacen su agosto

El sector retail se vuelve más vulnerable en época de fiestas

Las fiestas navideñas son claves para el sector retail; es acá donde la mayor parte de los negocios realizan sus ventas más fuertes del año. Esta situación de mayor actividad y visibilidad eleva las probabilidades de que los comercios, con sus respectivas tiendas virtuales, se conviertan en blanco fácil para los hackers; quienes aprovechan cualquier descuido para vulnerar sus redes. Los hackers podrían tomar los datos personales y financieros de clientes, estafar a los trabajadores mediante mensajes engañosos y en el peor de los casos colapsar la red de una organización. Un escenario claro de lo crítico que puede ser un ataque en estas fechas es el impacto en ventas que tendría que las cajas dejen de funcionar a las 5 de la tarde un domingo antes de navidad.

Ya han advertido sobre este tema varias cadenas de prestigio que fueron víctimas de estas actividades ilícitas durante los últimos meses, registrando importantes pérdidas financieras, más el perjuicio de su imagen pública.

Por ejemplo, las acciones de Macy’s cayeron casi un 11% después de que aparecieron por primera vez las noticias sobre el ataque. El sitio web de Macy’s fue vulnerado en octubre, con hackers capturando información sobre algunos clientes mientras compraban en línea, según la tienda.

La información extraída de los clientes durante el ciberataque incluyó nombre, dirección, número de teléfono, dirección de correo electrónico, número de tarjeta de crédito y código de seguridad, asegura el comercio.

Y una vez que lo hacen, ¿qué pasa?

Los hackers usan este tipo de información para solicitar tarjetas de crédito adicionales a su nombre, o hacen compras con sus números ya que tienen toda la información necesaria para que las transacciones parezcan legítimas.

Otra opción es vender esta información en la Dark Web, lo cual que es un gran negocio para los hackers.

Los foros de Carder son lugares en la Dark Web donde este tipo de información se compra y se vende todos los días. Precisamente, el gobierno de los EE. UU. reveló una acusación federal este mes contra un hombre que ganó su dinero mediante su participación en estos foros, que son como un eBay de información robada de tarjetas de crédito y débito.

¿Qué quieren los hackers y cómo lo obtienen?

Los objetivos de los ataques de comercio electrónico generalmente se dividen en tres categorías: robar información de tarjetas de crédito, adivinar tokens de carrito para apoderarse de la sesión de compras o extraer información personal de las cuentas de los clientes para usarla en otras formas de fraude.Los medios utilizados por los hackers varían ampliamente. Los más comunes incluyen:

1. Tomar el control de cuentas (29.8%): las credenciales de usuario robadas o adivinadas se utilizan para iniciar sesión en el sitio, lo que permite al pirata informático cambiar la configuración del consumidor, bloquearla y realizar pedidos fraudulentos. Dada la prevalencia de la reutilización de credenciales, se probará una combinación de nombre de usuario y contraseña validada contra una gran cantidad de sitios financieros y de comercio electrónico adicionales.
2. Bots maliciosos (24.%): se utiliza una solicitud de bot de búsqueda falsa para recopilar datos de precios e inventario.
3. Cross-site scripting (XSS) (8.7%): un método que utiliza código JavaScript malicioso para controlar el carrito de compras de un usuario y realizar una acción controlada por el atacante, como enviar productos a otro lugar para revenderlos.
4. Inyección de SQL (SQLI) (8.2%): Aquí, los atacantes buscan obtener acceso a la información confidencial del cliente de un minorista evitando las medidas de seguridad de la aplicación. La información puede incluir una serie de elementos, como direcciones de clientes, historial de compras, contraseña, dirección de correo electrónico, etc.
5. Intentos a través de un backdoor (6.4%): los ciberdelincuentes intentan acceder a través de una puerta trasera o backdoor, la cual fue dejada preparada y abierta en un ataque anterior, de esta forma los ciberdelincuentes podrán acceder a los sistemas de la tienda y a la información confidencial del cliente.

Consejos para los negocios de retail: Sugerencias para asegurar sus sistemas informáticos.

Precisamente, la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (www.us-cisa.gov) acaba de compartir algunos consejos para prevenir fraudes en comercios electrónicos.

• Actualizaciones de software y antivirus: Los parches del sistema operativo de los servidores y de los equipos de red (firewall, switches, routers, balanceadores, etc.), deben mantenerse actualizados. Asimismo, los servidores deben mantener actualizadas las firmas del antivirus y antimalware. Se aconseja suspender el uso de sistemas operativos obsoletos, tal como Windows XP. Esto último también aplica para aquellos equipos de red que cuenten con un sistema operativo que no recibe actualizaciones o que se encuentra desfasado.
• Contraseñas de cuentas: Las contraseñas de red o del sistema deben cambiarse regularmente, se recomienda que la misma contraseña no sea utilizada en múltiples sistemas o cuentas. Ofrezca y utilice la autenticación de múltiples factores (two factor authentication) para una capa adicional de seguridad tanto para usted como para sus clientes. Las contraseñas de los equipos deben ser distintas a las que vinieron por defecto desde fábrica.
• Segmentación de red: Separe el procesamiento de su sistema de pago de otras aplicaciones de red. Este proceso debe estar aislado al ser crítico para la organización. La segmentación y segregación adecuada de la red disminuye la exposición, o superficie de ataque, en caso de que un ciberdelincuente tuviese acceso al sistema.
• Firewalls, sistemas de prevención y detección de intrusiones (IPS/IDS): Se recomienda el uso de un firewall con una apropiada configuración. Se sugiere también contar con sistemas de detección y/o prevención de intrusiones (IDS/IPS) para una mayor defensa de su red. En caso de tener bases de datos o aplicaciones web, recomendamos utilizar un database firewall y un web application firewall.
• Consideraciones de acceso remoto: El acceso remoto a su red debe ser limitado, seguro y monitoreado, esto con el fin de reducir el riesgo. Se debe tener una línea base de actividad de acceso remoto como referencia.
• Haga una copia de seguridad (backup) de su sistema: una copia de seguridad o backup de su sistema puede ayudar a reducir el tiempo de recuperación ante un incidente.
• Pagos en línea: utilice protocolos de estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para sus transacciones. Esto incluye el cifrado (cifrado SSL) de los datos de la tarjeta de pago de su cliente, ya sea que se esté almacenando, procesado o transmitido. Además, la verificación de la dirección del titular de la tarjeta y la solicitud del valor de verificación de la tarjeta (Cvv2) (número de 3 o 4 dígitos en el anverso de la tarjeta) puede ayudar a autenticar la transacción y validar el titular de la tarjeta y la cuenta.

Adicional a estos consejos recomendamos implementar el EMV 3DS o 3DS2, el cual es un protocolo de seguridad para transacciones en línea de tarjetas de crédito y débito optimizado para prevenir transacciones sin tarjeta presente (CNPs).

Fuentes:

https://www.cbsnews.com/news/macys-hack-customer-data-stolen-after-retailers-online-store-was-hacked/ https://www.secureworldexpo.com/industry-news/macys-cyberattack-card-skimminghttps://www.mytotalretail.com/article/its-the-most-wonderful-time-of-the-year-for-hackers/https://www.cisa.gov/sites/default/files/publications/19_1122_cisa_CISA_USSS-Holiday-Online-Shopping-Tips-November-25-2019.pdf