¡Alerta Black Friday! 10 claves sobre los ciberataques contra los e-commerce y sus clientes

Los actores maliciosos aprovechan el Black Friday para poner en marcha ciberataques contra los e-commerce y realizar fraudes contra ellos y sus clientes

El tiempo en el que las rebajas de verano e invierno marcaban de forma trascendental el devenir de las empresas del retail ya queda lejos en el tiempo. La irrupción y consolidación del Black Friday y el Cyber Monday a nivel global es una realidad que se confirma año tras año. De hecho, el Black Friday ya no se limita al viernes después de Acción de Gracias, como sucedía originalmente en su país de origen, Estados Unidos; sino que se alarga durante todo el mes de noviembre.

Aunque los establecimientos físicos se han sumado a las rebajas del Black Friday, el mayor volumen de negocio se produce en las tiendas online. De ahí que los ciberataques contra los e-commerce puedan tener efectos especialmente graves para las empresas durante estas semanas.

Sobre todo, si tenemos en cuenta que los ciberdelincuentes huelen la oportunidad de ganar dinero e intentan sacar rédito del notable incremento de ventas que se produce en los e-commerce al calor de las rebajas. De hecho, se estima que este año los españoles gastarán de media casi 300 euros por persona.

A continuación, vamos a abordar algunas de las claves sobre los ciberataques contra los e-commerce que tienen que tener en cuenta las compañías al diseñar su estrategia de seguridad, si desean evitar que los actores maliciosos lastren los resultados de sus campañas del Black Friday.

1. Fraudes económicos directos contra los e-commerce: Chargeback y compras masivas con bots

Aunque la mayoría de los ciberataques contra los e-commerce tienen como objetivo cometer fraudes económicos contra los consumidores, en algunos casos estos fraudes van dirigidos directamente contra las tiendas online:

• Chargeback. No se trata tanto de un ciberataque, sino de un proceso que genera consecuencias negativas para un comercio minorista. ¿En qué consiste? En un e-commerce se llevan a cabo compras realizadas con tarjetas fraudulentas. De tal forma que cuando el propietario de la tarjeta usada de forma ilegítima detecta el cargo en su cuenta bancaria, procede a reclamarlo. Como consecuencia de ello, la tienda online tiene que realizar la devolución del dinero cobrado por el producto vendido. Si, además, el producto ya ha sido enviado o entregado, la empresa no solo pierde la venta, sino también el producto comercializado.
• Compras masivas con bots. Los ciberdelincuentes aprovechan los descuentos del Black Friday y el Cyber Monday para realizar compras masivas de productos de los e-commerce. ¿Cómo se gestionan estas compras? Usando botnets. De esta manera logran agotar el stock de los productos más atractivos de las tiendas online en poco tiempo y pueden revenderlos posteriormente a un precio mayor del que les costó a través de la Dark Web, pero también de otra clase de canales como foros o grupos de Telegram, como sucede con los fraudes audiovisuales.

2. Spear phishing para obtener las listas de clientes y realizar nuevos ataques

En todos los fraudes digitales entran en juego la tecnología y el factor humano. De hecho, habitualmente, el eslabón más débil de la estrategia de seguridad de una empresa son las personas.

Y los ciberdelincuentes lo saben mejor que nadie.

Por eso, uno de los modelos de ciberataques contra los e-commerce más en boga tiene como elemento central el uso de phishing para engañar a los profesionales de las empresas con tiendas online.

Este modelo delictivo es similar al que ya desgranamos cuando abordamos los fraudes en el sector turístico. Los cibercriminales establecen como targets a empleados de los negocios a los que desean atacar y que por su rol dentro de sus organizaciones pueden tener acceso a las listas de clientes y de ventas.

¿De qué profesionales hablamos? Por ejemplo, de las personas encargadas de tramitar los pedidos que se realizan a través de un e-commerce para que los artículos adquiridos por los consumidores lleguen a sus casas.

Una vez que los delincuentes saben a quién desean atacar, ponen en marcha campañas de spear phishing para engañar a las personas y lograr que hagan clic en una URL maliciosa o descarguen un archivo infectado con malware. De esta manera, sin darse cuenta, los profesionales ejecutan un malware, comúnmente, un infostealer. ¿Por qué?

Esta tipología de software malicioso permite a los delincuentes sustraer las credenciales o los datos de sesión que los empleados tengan almacenadas en sus ordenadores, por ejemplo, en el navegador, o bien, registrando las teclas pulsadas por dichos empleados. ¿De qué credenciales hablamos? Sin ir más lejos, el usuario y la contraseña para acceder a la plataforma del e-commerce desde la que se pueden consultar todas las ventas realizadas y los datos de los pedidos, pero también de los clientes. Información clave para cometer fraudes contra ellos.

3. Ingeniería social para engañar a los consumidores

Las técnicas de ingeniería social no solo son útiles para infiltrarse en los sistemas empresariales, sino que se emplean incesantemente para engañar a los clientes de las empresas del sector del retail con el objetivo de estafarlos. ¿Qué ciberataques contra los e-commerce y sus clientes se pueden poner en marcha a lo largo de todo el año, pero, sobre todo durante el Black Friday?

1. Phishing para obtener las credenciales de acceso a las cuentas de los clientes en las tiendas online. El objetivo de este fraude es conseguir que un usuario facilite sus claves para entrar en un determinado e-commerce y poder, desde su área privada, sustraerle una tarjeta regalo o cualquier tipo de saldo virtual que le ha facilitado el negocio por el Black Friday.
2. Campañas de ingeniería social que se benefician de la información obtenida sobre los clientes de un negocio para comunicar un problema con un pago u ofrecer una rebaja extra si se realiza el pago de forma inmediata. Los delincuentes no solo se han de pasar por el negocio, sino que crean páginas y pasarelas de pago falsas para que los clientes introduzcan sus datos bancarios y poder cometer el fraude económico. En este fraude juega un papel crucial la sensación de inmediatez.
3. Phishing y smishing masivos para suplantar la identidad de entidades bancarias o compañías de transporte y alertar a las personas de problemas sobre supuestos pagos o envíos, incorporando URLs a webs fraudulentas o enlaces infectados con malware. En este caso no se emplea información específica obtenida durante un ataque previo contra una empresa concreta, sino que se parte de la suposición de que durante el Black Friday la mayoría de la población realiza alguna compra online.

4. Tiendas online fake para suplantar a las empresas reales

Los profesionales de ciberinteligencia detectan en su trabajo diario de lucha contra el fraude y la piratería e-commerce falsos que simulan ser tiendas legítimas de empresas retail conocidas por los consumidores. ¿Con qué objetivo? Que las personas crean, de verdad, que se tratan de e-commerce reales y lleven a cabo compras falsas, facilitando sus datos bancarios a los delincuentes y adquiriendo unos productos o servicios que jamás recibirán.

Esta tipología de ciberataques contra los e-commerce y sus clientes tiene un elevado grado de sofisticación, porque las tiendas online deben guardar una apariencia visual prácticamente idéntica a la de los e-commerce legítimos. De ahí que las víctimas de este fraude sean, sobre todo, grandes compañías con una gran cantidad de clientes y, por tanto, víctimas potenciales.

¿Cómo logran los actores maliciosos que los consumidores aterricen en estas tiendas online fake? Existen diversas estrategias:

• Despliegue de campañas de ingeniería social para conducir a los ciudadanos a las webs falsas atrayéndolos con descuentos exclusivos, al calor del Black Friday.
• Lograr situar e-commerce fraudulentos en los primeros puestos de los buscadores web. De tal manera que, al buscar una determinada tienda, aparezca la página ilegítima. O, también, pagar anuncios en los buscadores para lograr que la página sea vista por las víctimas potenciales.
• Desarrollo de aplicaciones móviles falsas con apariencia de reales para que los consumidores las descarguen y usen sin detectar el engaño. Esta tipología de ciberataques contra los e-commerce y su clientela es cada vez más relevante ante el auge de las compras a través del móvil.
• Typosquatting. Los delincuentes crean e-commerce fraudulentos con direcciones prácticamente idénticas a las de las tiendas online reales y se aprovechan del hecho de que los consumidores cometan un fallo al escribir la dirección en el navegador web.

5. Ransomware para secuestrar información confidencial

¿Y si los ciberdelincuentes recurren al phishing para desplegar un ataque de ransomware en vez de recurrir a un infostealer?

Esta clase de malware se emplea para robar y encriptar los datos de una empresa (o una administración pública) exigiendo un rescate a cambio de desencriptar la información y con la amenaza de publicar en la Dark Web datos confidenciales sobre sus negocios o clientes o comercializarlos entre la competencia de la compañía atacada.

Al igual que los mecanismos de detección y respuesta frente a ciberataques se han ido perfeccionando con el paso de los años, este tipo de ciberataques contra los e-commerce se han sofisticado, lo que dificulta su detección a lo largo de la Cyber Kill Chain antes de que los delincuentes consigan su objetivo: el secuestro de la información.

Los ataques de ransomware son una de las principales amenazas a las que tienen que hacer frente las empresas de todos los sectores, y el retail no iba a ser una excepción.

Además, la expansión del modelo de Ransomware-as-a-Service (RaaS), mediante el que grupos de ciberdelincuentes diseñan, empaquetan y comercializan este tipo de ataques ha multiplicado el número de potenciales actores maliciosos. ¿Por qué?

Gracias al Ransomware-as-a-Service (RaaS) no es necesario que los atacantes dispongan de los conocimientos, los recursos y la pericia necesarios para diseñar ransomware capaces de infectar sistemas y redes corporativos y persistir sin ser percibidos hasta el cumplimiento de los objetivos. De tal manera que un delincuente puede suscribirse o afiliarse a un RaaS a través de la Dark Web y poner en marcha un ataque contra cualquier e-commerce para extorsionar a sus propietarios.

La publicación de los datos bancarios de los clientes puede tener repercusiones económicas, legales y reputacionales catastróficas para una empresa.

6. E-skimming: Robar los datos de las tarjetas de crédito de los clientes

Si las campañas de phishing o, más en concreto, spear phishing son el vector de entrada de ataques para acceder a los datos de los clientes o secuestrarlos, también pueden ser el punto de partida de otra clase de ciberataques contra los e-commerce que se debe tener en cuenta: el e-skimming.

¿En qué consiste el e-skimming? Una vez que los criminales se encuentran dentro de los sistemas de un e-commerce modifican el código fuente de la tienda online para conseguir que cuando los clientes introduzcan sus datos personales y bancarios estos no se transmitan solo a la entidad bancaria a través de la que se realiza el pago, sino también a los ciberdelincuentes.

Esta amenaza afecta, especialmente, a las empresas que tienen integrada la pasarela de pagos en sus e-commerce. Por lo general, grandes compañías con mayores recursos y volumen de negocio.

Sin embargo, los delincuentes también pueden atacar a las pasarelas de pago de las entidades bancarias y empresas especializadas en estos servicios. De ahí que sea tan importante que estos actores lleven a cabo auditorías de seguridad en entornos bancarios avanzados.

7. Ataques de denegación de servicio: Extorsión y parálisis de la actividad

Los ataques de denegación de servicio (DoS) y su versión avanzada, los ataques distribuidos de denegación de servicio (DDoS), que emplean botnets, son unos de los ciberataques contra los e-commerce más comunes. El objetivo de los delincuentes es saturar los recursos de las tiendas online a las que atacan, de tal forma que sus servidores sean incapaces de atender las peticiones de los clientes legítimos. Lo que se traduce en una disrupción del servicio que se lleva por delante la continuidad de negocio. Una cuestión especialmente grave durante el Black Friday o el Cyber Monday.

Al igual que sucede con los ataques de ransomware, los ataques DDoS han crecido exponencialmente en los últimos años, sobre todo, al calor de dos fenómenos:

• Ataques RDDoS. A cambio de no llevar a cabo un ataque de denegación de servicio o finalizar una campaña puesta en marcha, los delincuentes exigen el pago de un rescate económico, como sucede en el caso de los incidentes de ransomware.
• DDoS-as-a-Service. Esta tipología de ciberataques contra los e-commerce también se ha paquetizado, lo que ha abierto las puertas a miles de actores maliciosos que no disponen de los conocimientos y los recursos tecnológicos necesarios para desarrollar e implementar esta clase de ataques por su cuenta.

Los ataques DoS y DDoS son especialmente sensibles para los e-commerce durante los días de mayores ventas del año porque el lucro cesante asociado a no poder comercializar sus productos o servicios puede alcanzar magnitudes que afecten de forma trascendental a la obtención de beneficios empresariales a final de año.

8. Dinero, datos y normativa más laxa. ¿Por qué el sector del retail está en la diana de los atacantes?

Si hasta ahora habíamos explorado algunas de las tácticas, técnicas y procedimientos (TTP) de los actores maliciosos a la hora de diseñar y ejecutar ciberataques contra los e-commerce y sus clientes, ahora debemos detenernos en las causas detrás del interés de los delincuentes por el sector del retail a lo largo de todo el año y, en especial, durante los días en los que se celebran el Black Friday y el Cyber Monday.

1. Dinero. Como indicamos al inicio del artículo, en el Black Friday se producen millones de compras online. Lo que se traduce, lógicamente, en cuantiosos ingresos económicos para las empresas que disponen de e-commerce. Mediante el acceso a las listas de clientes de un negocio y la puesta en marcha de fraudes digitales los actores maliciosos pueden obtener sustanciales ganancias económicas. Asimismo, las empresas pueden verse más predispuestas a pagar costosos rescates para poner fin a ataques de ransomware o DDoS.
2. Datos. Precisamente, al incrementarse el número de consumidores que compran productos a través de las tiendas online, también aumenta el número de datos almacenados en las plataformas web y apps móviles, por lo que un ataque de ransomware exitoso puede ser mucho más lucrativo que en otro momento del año.
3. Normativa. En los últimos años se han aprobado en el seno de la UE diversas normativas para incrementar los requerimientos en materia de ciberseguridad que han de cumplir las empresas, como el reglamento DORA (que afecta al sector financiero) o la directiva NIS2 que establece 15 sectores críticos con exigencias de seguridad más elevadas (transporte, energía, salud…). El comercio minorista no es uno de ellos. De ahí que muchas empresas presenten niveles de madurez de ciberseguridad bajos.

9. Los ciberataques contra los e-commerce se dirigen contra toda clase de negocios

El ecosistema de empresas dedicadas al retail está atomizado, a diferencia de algunos de los sectores que señalamos antes como el financiero, en el que existen menos compañías y, por ello, su tamaño y los recursos disponibles son mayores.

¿Qué significa esto? Que la postura de ciberseguridad de las empresas del sector es muy diversa. Las grandes empresas del retail tienen programas de seguridad avanzados para hacer frente a los ataques continuos que ponen en marcha los numerosos grupos delictivos que existen. Ello implica que la ciberseguridad se haya convertido en un elemento central de la estrategia empresarial de las multinacionales que se dedican al comercio minorista.

Sin embargo, también existen cientos de miles de pymes e, incluso, autónomos, que disponen de un e-commerce para comercializar sus productos y servicios.

Muchos pequeños negocios no tienen una estrategia de ciberseguridad porque consideran que solo las grandes compañías se encuentran en el punto de mira de los delincuentes. Sin embargo, los datos sobre ciberataques desmienten esta creencia. Es más, el impacto de los incidentes de seguridad puede ser letal para las pymes. Tal es así que el informe elaborado por Google sobre el panorama de la ciberseguridad en España sostiene que el 60% de las pequeñas y medianas empresas que son víctimas de ciberataques exitosos acaban cerrando en los seis meses posteriores.

La ausencia de mecanismos de detección de eventos sospechosos como tráfico web irregular, la falta de concienciación para poner en marcha buenas prácticas que impidan el éxito de las campañas de phishing o medidas como la autenticación multifactor pueden facilitar la ejecución de los ciberataques y provocar consecuencias económicas y reputacionales graves.

Más aún en un momento tan delicado como el final del año, en el que se suceden las campañas comerciales para el Black Friday y la Navidad.

10. Prevenir, detectar y responder a los ciberataques contra los e-commerce

¿Qué pueden hacer las empresas para combatir los ciberataques contra los e-commerce y los consumidores que adquieren productos en ellos? Recurrir a servicios de ciberseguridad y ciberinteligencia para comprender la forma de operar de los actores maliciosos, tomar una posición proactiva para anticiparse a ellos y optimizar los mecanismos de defensa.

Resulta evidente que no todos los negocios que operan en el sector retail pueden destinar la misma cantidad de recursos humanos y económicos a mejorar su postura de ciberseguridad, ni todos ellos se enfrentan a las mismas amenazas ni a grupos delictivos con el mismo nivel de conocimientos y recursos.

Para las grandes compañías del retail es fundamental contar con servicios de ciberseguridad avanzados para proteger sus activos digitales, pero también han de recurrir a los profesionales de ciberinteligencia para comprender cómo operan los actores maliciosos y combatir el fraude y la piratería online. Más aún, si cabe, antes y durante el Black Friday y la Navidad en la que las ventas digitales experimentan un crecimiento notable.

Por su parte, las pymes y los pequeños e-commerce deben priorizar la ciberseguridad y mejorar sus mecanismos de detección y respuesta ante incidentes para evitar que estos pongan en tela de juicio la continuidad de negocio y generen pérdidas económicas en un momento tan trascendental como los dos últimos meses del año.

10.1. Ciberseguridad y ciberinteligencia para combatir los incidentes de seguridad y los fraudes

¿Qué servicios de ciberseguridad y ciberinteligencia pueden ser de gran valor añadido para poner coto a las actividades delictivas a lo largo de todo el año y, en especial, en el transcurso del Black Friday y la campaña navideña?

• Análisis del entorno de amenazas de una tienda electrónica de cara a detectar riesgos y vulnerabilidades y mitigarlos antes de que sean explotados con éxito.
• Auditorías de código fuente y pruebas de seguridad de aplicaciones web, APIs y aplicaciones móviles para detectar vulnerabilidades y corregirlas.
• Investigación de fraudes para, por ejemplo, detectar webs falsas y proceder a su eliminación antes de que sean usadas para completar fraudes.
• Servicios de protección de marcas y productos para luchar contra la piratería online.
• Test de ingeniería social y phishing para simular campañas fraudulentas y mejorar la formación y capacitación de los profesionales de una empresa.
• DoS Test contra los e-commerce para simular ataques en entornos controlados, obtener datos de pruebas de carga reales, comprobar el tiempo de respuesta y evaluar la resiliencia de los sistemas backend así como su capacidad de auto-escalar.
• Servicios de gestión de vulnerabilidades y detección de vulnerabilidades emergentes para detectar activos de los e-commerce expuestos a las vulnerabilidades críticas y priorizar su mitigación.

En resumen, los ciberataques contra los e-commerce pueden provocar cuantiosas pérdidas económicas, incluyendo el lucro cesante asociado a la paralización de las actividades, y reputacionales. Las empresas que disponen de tiendas online y, en especial, aquellas cuyo modelo de negocio radica únicamente en esta vía de comercialización deben recurrir a servicios de ciberseguridad y ciberinteligencia. ¿Con qué fin? Proteger su negocio y a sus clientes. Sobre todo, en un momento crítico como el Black Friday y la Navidad, en el que se obtiene gran parte de la facturación anual.