Robar el historial de compras de los clientes. Un nuevo objetivo de los ciberdelincuentes
Tabla de contenidos
En los últimos meses se han producido ciberataques contra grandes empresas en los que los actores hostiles lograron robar el historial de compras de los clientes
¿Crees que conoces a tus amigos? ¿Le has echado un ojo a la lista de la compra que llevan al supermercado? Te aseguramos que te llevarás más de una sorpresa. Una de las mejores formas de conocer a una persona en el S. XXI es sabiendo qué productos adquiere. Y los ciberdelincuentes lo saben bien. Al robar el historial de compras de los clientes de las empresas, los actores maliciosos obtienen un caudal de información de gran valor. ¿Para qué?
Suplantar la identidad de las empresas y lanzar campañas de fraudes online contra los consumidores, extremadamente sofisticadas y personalizadas, ya que los ciberdelincuentes saben qué han comprado sus víctimas en el pasado y pueden emplear esta información para engañarlas y no despertar sospechas.
A continuación, te contamos por qué robar el historial de compras de los clientes se ha convertido en un objetivo de los grupos delictivos a la hora de lanzar ataques contra las empresas del sector servicios y la forma en que las compañías pueden prevenir esta clase de incidentes y fortalecer la seguridad de sus e-commerce.
1. Relleno de credenciales, una técnica maliciosa que permite vulnerar las cuentas de los clientes
A principio de junio de 2025 se hizo público que The North Face, una compañía de retail que factura 3.000 millones de dólares al año, había sufrido en abril un ciberataque conocido como relleno de credenciales. ¿Cómo funciona esta técnica maliciosa?
- Los ciberdelincuentes obtienen credenciales de seguridad expuestas en anteriores ataques que se saldaron la filtración de estos datos personales.
- Como muchos consumidores emplean los mismos nombres de usuario y contraseñas para acceder a múltiples plataformas y aplicaciones web, el objetivo del relleno de credenciales es probar si las credenciales conseguidas sirven para acceder a un e-commerce.
- Estos intentos de acceso se pueden automatizar, de tal forma que los delincuentes pueden realizar miles de intentos de sesiones.
- Si consiguen acceder a las cuentas de los usuarios en la web de una compañía de retail, pueden robar el historial de compras de los clientes, así como otra información de valor, como el nombre de los consumidores, sus datos de contacto y hasta su dirección de recepción de pedidos.
¿En qué casos tienen éxito los actores maliciosos que emplean la técnica del relleno de credenciales? Cuando la compañía que se encuentra bajo su punto de mira no ha implementado la autenticación multifactor para que los usuarios accedan a sus cuentas.
¿Por qué muchos negocios siguen sin exigir a los consumidores que lleven a cabo una doble autenticación? Este procedimiento ralentiza el proceso de compra, resulta menos cómodo para los usuarios y puede afectar a las compras en caliente.
Como sucede siempre en materia de ciberseguridad, antes de implementar cualquier mecanismo de seguridad es fundamental tener en cuenta tanto sus potenciales beneficios, como su impacto en la operativa de la compañía y en su modelo de negocio.
Sin embargo, ante el incremento de ataques dirigidos a robar el historial de compras de los clientes, se vuelve cada vez más recomendable adoptar la autenticación multifactor en plataformas e-commerce.
2. Garantizar la continuidad de negocio y proteger los datos financieros de los clientes han sido las grandes prioridades
En los últimos años, las compañías de retail han hecho un gran esfuerzo económico y humano para dotarse de estructuras de seguridad sólidas. Este proceso ha sido una consecuencia lógica del incremento del comercio online. Por ejemplo, The North Face ya obtiene el 42% de sus ingresos a través de sus canales de venta digitales.
Los dos grandes frentes en los que se han focalizado las estrategias de ciberseguridad de las empresas de retail han sido:
- La continuidad de negocio. El histórico incidente de seguridad sufrido por la compañía Marks & Spencer en la primavera de 2025 ha evidenciado que si un ciberataque afecta al funcionamiento de un e-commerce y de servicios críticos como el control de stock de productos, las consecuencias pueden ser millonarias. En el caso de M&S, se espera que el coste supere los 300 millones de libras.
- La información financiera de los consumidores. El dato más sensible que las empresas obtienen por parte de sus clientes es la información asociada a las tarjetas con las que realizan sus compras. Por eso, las compañías optimizan continuamente los mecanismos de protección de estos datos. Buena muestra de ello es que en el incidente sufrido por The North Face, los actores maliciosos no pudieron obtener los datos bancarios de los clientes.
En materia de ciberseguridad es fundamental tener en cuenta que no existe el riesgo 0, ni una protección del 100%. Las estrategias de ciberseguridad se diseñan e implementan teniendo en cuenta las amenazas a las que se enfrenta una compañía, su modelo de negocio y los recursos económicos, técnicos y humanos de los que dispone.
La mayoría de empresas del sector servicios ha centrados sus esfuerzos en las dos áreas que venimos de señalar por su relevancia para ellas y sus clientes. De ahí que otras cuestiones como la amenaza que supone que los delincuentes puedan robar el historial de compras de los clientes hayan recibido una menor atención.
Sin embargo, ante un panorama en el que los fraudes digitales a ciudadanos van en aumento, la salvaguardia del historial de compras de los consumidores está adquiriendo una relevancia creciente, puesto que no estamos hablando solo de compañías del sector retail. Sin ir más lejos, el año pasado Ticketmaster, la plataforma líder de venta de entradas a nivel mundial, sufrió un incidente que se saldó con el acceso indebido a datos de clientes, entre los que se encontraban los tickets que habían adquirido en el pasado.
3. Materia prima de excelente calidad para diseñar fraudes 100% realistas
Robar el historial de compras de los clientes de una empresa les permite a los actores maliciosos diseñar ciberestafas extraordinariamente realistas.
Pensemos, por ejemplo, en un ciudadano que recibe un email que, teóricamente, procede de una compañía en la que ha comprado recientemente. En dicho correo le informan de que desean agradecerle su confianza y le ofrecen un descuento exclusivo en un producto similar a otro que ya ha adquirido. Para beneficiarse de la oferta, se le redirige a una página que parece legítima y en ella se solicita que introduzca información bancaria para completar la compra.
Cuando la víctima se dé cuenta, el dinero habrá desaparecido de su cuenta bancaria y no tendrá ningún pedido en camino.
Los delincuentes son cada vez más precisos a la hora de suplantar la identidad de empresas de reconocido prestigio. Robar el historial de compras de los clientes permite a los ciberdelincuentes ofrecer información personalizada y creíble, aprovechando sus preferencias y hábitos para evitar levantar sospechas de fraude.
El ejemplo que acabamos de esbozar solo es uno de los múltiples escenarios que se pueden dar. Los delincuentes buscan robar el historial de compras de los clientes de las compañías del sector servicios con el objetivo de:
- Extorsionar a las compañías exigiendo el pago de un rescate a cambio de no hacer pública la información.
- Venderla junto a otra información confidencial a la competencia.
- Comercializarla en la Dark Web para que otros actores hostiles pueden cometer fraudes.
- Usarla para llevar a cabo sus propias campañas de ciberestafas, sobre todo, contra consumidores de alto poder adquisitivo.
Como sucede (casi) siempre, el objetivo principal de los delincuentes es monetizar sus actividades maliciosas, ya sea a costa de las empresas o de los consumidores.
4. Robar el historial de compras de los clientes con un alto poder adquisitivo, un objetivo muy jugoso para los criminales
A nadie se le escapa que no todos los consumidores somos iguales. Algunos clientes tienen un valor potencial para las empresas mucho mayor… y también para los criminales.
De ahí que no deba sorprendernos que los actores maliciosos busquen robar el historial de compras de clientes de compañías que operan en el sector del lujo.
En las últimas semanas, compañías como Cartier o Dior han sufrido incidentes de seguridad relacionados con los datos de sus clientes.
La firma fundada por Christian Dior, un auténtico referente de la moda a nivel global en el último siglo, informó en mayo de 2025 que había sido víctima de una filtración de datos que afectó a sus clientes en China y Corea. ¿Qué consiguieron los delincuentes?
- Obtener datos personales y de contacto: nombres completos, números de teléfono, dirección de email, dirección postal…
- Robar el historial de compras de los clientes.
Si para todas las empresas del sector servicios el robo del historial de compras de sus clientes supone una amenaza de primer nivel, para las compañías con clientes de alto poder adquisitivo aún resulta más grave. ¿Por qué? En estos casos la confianza del cliente es absolutamente crítica.
5. Los daños reputacionales, una de las consecuencias más graves y persistentes de los ciberataques
Precisamente, los ataques en los que los delincuentes consiguen robar el historial de compras de los clientes, evidencian una vez más, el daño que sufren las empresas en las que se producen incidentes de seguridad.
Para un negocio resulta sencillo saber cuánto dinero ha tenido que invertir en resolver un incidente y recuperar la normalidad. También es posible estimar las pérdidas económicas directas que causan los incidentes que menoscaban la continuidad de negocio o que conllevan el pago de sanciones.
Pero… ¿qué sucede con los daños reputacionales? Resultan más intangibles, pero no por ello son menos reales y graves. Además, sus efectos pueden ser más duraderos. Si un consumidor sufre una estafa porque unos delincuentes consiguieron acceder a sus datos personales y a su historial de compras, es posible que su relación con la empresa se vea dañada para siempre.
Como apuntamos antes, en un ámbito como el del lujo, donde los ciudadanos invierten grandes cantidades de dinero en adquirir bienes y servicios, el menoscabo de la imagen de marca puede ser notorio y dañar el devenir de la empresa.
Nadie desea que su historial de compras se haga público o que se utilice para engañarlo; esta preocupación es aún mayor entre los consumidores con mayor poder adquisitivo.
6. Prevención, detección y respuesta: Los servicios de ciberseguridad son claves
¿De qué forma se puede evitar que los delincuentes logren robar el historial de compras de los clientes de una compañía? Los expertos defienden que puede ser de gran ayuda no reutilizar credenciales y usar gestores de contraseñas en su lugar. Sin embargo, estas recomendaciones dependen del factor humano y no se pueden imponer, pero lo que sí está en manos de las compañías es la decisión de adoptar la autenciación multifactor para evitar que los delincuentes acceden a las cuentas corporativas de los profesionales de la empresa o de sus proveedores.
Junto a esta medida, es fundamental que las empresas del sector servicios fortalezcan continuamente sus estrategias de seguridad gracias a servicios como:
- Auditorías de seguridad continuas para detectar vulnerabilidades explotables en los e-commerce y webs empresariales, así como indicios de incidentes de seguridad con la máxima celeridad.
- Investigación y análisis de fraude a cargo de expertos en ciberinteligencia, con el objetivo de conocer cómo operan los grupos delictivos, optimizar los mecanismos de detección temprana e implementar contramedidas de seguridad para que no logren sus objetivos.
- Ejercicios de Red Team, de cara a comprobar de forma fehaciente la resiliencia de una compañía ante los ataques, optimizar sus estructuras defensivas y conseguir que estén mejor preparadas para hacer frente a las técnicas maliciosas más innovadoras.
- Respuesta a incidentes proactiva. De tal forma que los expertos en ciberseguridad puedan actuar desde el minuto 1, contener el impacto de un ataque, evitar su propagación, limitar la información que se puede ver expuesta, expulsar a los actores hostiles y recuperar la normalidad.
Uno de los principales activos de cualquier empresa son sus clientes y la información que disponen sobre ellos. Conocer el historial de compras de cada consumidor es fundamental para ofrecerle propuestas comerciales que se ajusten a sus intereses y necesidades. Proteger estos datos es fundamental, porque su uso malicioso puede saldarse con fraudes contra los consumidores tan realistas que puedan completarse con éxito y causarles pérdidas económicas.
Los crecientes ciberataques contra el sector retail, la consolidación de las compras online y la proliferación de intentos de ciberestafas evidencian que las compañías del sector servicios deben confiar en expertos en ciberseguridad para automatizar continuamente sus mecanismos de prevención, detección y respuesta ante cualquier clase de incidente y, en especial, a aquellos en los que están en juego los datos de sus clientes.