Se acerca el CyberMonday, la movida promocional del correo eletrónico argentino. En estos períodos los consumidores se vuelven más susceptibles a las ofertas recibidas por correo electrónico y redes sociales, y tendrán más incentivos para comprar con rapidez para aprovechar las promociones.

Esta avidez es reconocida por los ciberatacantes, por lo cual es importante revisar las principales formas de ataque a las empresas de comercio electrónico, y las medidas que los consumidores y las empresas pueden tomar ante esta amenaza.

Federico Tandeter, líder de ciberseguridad de Accenture Argentina, explicó que "en los últimos años, varios vectores de ataque diferentes han sido utilizados para atacar el comercio electrónico con el fin de robar información personal".

Los delincuentes apuntan con diferentes técnicas para conseguir los datos financieros de la víctima.

Los vectores que más ven en esta compañía utilizan las siguientes técnicas:

• Container as a Service (CaaS): la venta del acceso a una empresa cuya seguridad ha sido vulnerada, donde la explotación del acceso es manejada por el comprador.
• Skimming virtual: el objetivo es robar la información de pago de los clientes introducida en los formularios de los sitios de comercio electrónico. El ataque roba los datos a medida que se introducen en los formularios de entrada del usuario. En este escenario, los datos son robados antes de que puedan ser encriptados.
• Grupos organizados del delito electrónico: Por ejemplo, FIN6. Son una de las amenazas más notables de la delincuencia electrónica organizada dirigida al comercio electrónico. Una vez que tienen acceso, extraen los datos de la tarjeta y los venden en mercados clandestinos.

Cómo son usados los datos robados

• Fraude de pago: Los compradores de los datos de la tarjeta no pueden comprar una tarjeta robada y luego usarla para comprar, porque los bancos emisores y las propias tiendas de comercio electrónico tienen capacidades de detección de fraude. Por lo tanto, los delincuentes buscan métodos que permitan eludir estos controles.
• Account Take Over (ATO): Se produce cuando un delincuente obtiene acceso a la cuenta de comercio electrónico de un cliente registrado. Una vez que un ciberatacante tiene acceso a una cuenta, su objetivo es realizar compras fraudulentas utilizando los datos de pago almacenados o los datos de pago robados de otro lugar. Algunos ciberdelincuentes se especializan en la recogida masiva y la reventa de credenciales robadas, lo que mejora y permite este tipo de ataque.
• Fraude de reembolso: El fraude de reembolsos abusa de las políticas de devolución para ganar dinero o mercancía.

Precauciones para el CyberMonday

La facilidad con la que se puede comprometer la información personal en tiempos como los del CyberMonday significa que siempre habrá "negocio" en la compra y venta de datos de tarjetas comprometidas; la cuestión para los ciberatacantes es cómo monetizar con éxito esos datos una vez que los hayan comprado.

El phishing es una técnica muy usada por los delincuentes en tiempos como los del CyberMonday.

Ante el próximo CyberMonday, desde Accenture compartieron a iProfesional las siguientes recomendaciones para consumidores y empresas para mitigar estas amenazas:

Recomendaciones para consumidores

• Proteger todos los dispositivos contra el malware de robo de datos y estar atentos a los sitios y los correos electrónicos de phishing.
• Utilizar y actualizar regularmente el software antivirus.
• Mantener actualizados los sistemas operativos, el software y los navegadores.
• No involucrarse con URL o correos electrónicos sospechosos.
• Proteger las cuentas en línea mediante contraseñas sólidas y el uso de autenticación multifactorial (MFA). La contraseña fuerte básica recomendada tiene un mínimo de 8 caracteres e incluye una mezcla de números, caracteres especiales, mayúsculas y minúsculas.
• Nunca compartir la contraseña o el código de seguridad.
• Utilizar tarjetas de crédito o aplicaciones de pago siempre que sea posible. Las tarjetas de crédito ofrecen una mayor protección al consumidor en caso de fraude.

Recomendaciones para empresas

• Emplear un enfoque holístico y en capas para la seguridad de la red. Asegurar los sistemas de puntos de venta (POS) para proteger los datos de las tarjetas, y limitar el uso de RDP para evitar el compromiso de la red.
• Llevar a cabo evaluaciones de seguridad exhaustivas en aplicaciones e infraestructuras de terceros para ayudar a mitigar los ataques a la cadena de suministro.
• Implementar un sistema de detección de fraudes para identificar actividades sospechosas. Además de la supervisión de las transacciones, considerar la posibilidad de cambiar el enfoque a la supervisión de la identidad, la sesión y el comportamiento para evaluar el riesgo antes de una transacción.
• Establecer una línea de base de la actividad conocida de ATO para determinar las vías comunes de compromiso de la cuenta. Entonces se pueden implementar tácticas de detección o prevención, tales como hacer cumplir la autenticación de múltiples factores.
• Crear una política estricta de devoluciones. Asegurarse de que el personal esté debidamente capacitado, tener cuidado con las devoluciones omnicanal y devolver los fondos en el mismo método de pago utilizado originalmente.