Las fechas cercanas a Navidad siempre han sido fechas muy importantes para la mayoría de los comercios ya que durante estos días muchos negocios se juegan los resultados de todo el año.
En los últimos años, a las tradicionales compras navideñas, se le han sumado varios días especiales, El Día del Soltero, récord de ventas online en China y otras dos que hemos importado de Estados Unidos: el Black Friday y el Cyber Monday.
El Black Friday y el Cyber Monday son un creciente riesgo de seguridad para las empresas ya que son una oportunidad para que los ciberdelincuentes hagan de las suyas escondidos entre la gran cantidad de tráfico que recibirán los comercios estos días.
Los malos saben que esos días todo el mundo va a estar comprando por internet e intentarán aprovecharse y robar dinero mediante ciberataques de todo tipo.
Pero, ¿Qué tipos de ciberataques podríamos ver ese día? En este post haremos un somero repaso sobre ellos e indicaremos como podemos protegernos de cada uno de ellos.
Phishing
Tal vez uno de los más peligrosos son los ataques de phishing. En un ataque de phishing un ciberdelincuente prepara una página web maliciosa que tiene un aspecto muy similar a nuestro negocio y con un nombre de dominio que sea parecido al nuestro. De esta manera se está aprovechando de nuestra imagen de marca para realizar acciones fraudulentas. A continuación, para dirigir clientes hacia su web realiza una campaña de SPAM comercial con ofertas muy atractivas. Una vez que la víctima ha entrado en su web, si acaba comprando algún producto, el ciberdelincuente acabará recabando los datos de pago de la víctima, momento en el que su página mostrará un error y será redirigido hacia la página del comercio legítimo.
Evitar este tipo de ataques es realmente complejo, pero hay varios métodos para hacerlo más difícil. Por ejemplo las grandes empresas muchas veces adquieren además de su propio nombre de dominio, otros nombres de dominio similares. De esta manera es más difícil que el usuario pique. Sin embargo, mejor que eso es poner un banner en nuestra web informando de que:
- Nuestro negocio no envía SPAM comercial si no estamos apuntados a un boletín.
- Nuestro negocio es seguro y usa HTTPs.
- Nuestro negocio se ajusta a la normativa vigente.
- La transacción comercial se realizará a través de un TPV virtual o el método de pago que utilicemos.
De esta manera al menos una parte de los potenciales clientes estarán informados y es más difícil que “piquen”.
Uso de nuestra imagen de marca
Es una variante del caso anterior. Existe un nombre de dominio similar y un página web similar, pero en este caso, detrás de la web “copiada” hay un negocio y al hacer la compra, el cliente, pensando que ha comprado en nuestra tienda, recibe un producto, generalmente de calidad muy inferior a la que nosotros le enviaríamos.
De nuevo es difícil evitar este problema, pero sí que podemos denunciarlo si lo detectamos.
SPAM comercial
El SPAM comercial en sí puede no ser malicioso, pero si se recibe sin ser solicitado puede convertirse en algo muy molesto y generar una imagen negativa de la marca que “lo envía” (o que aparece como remitente).
Es muy fácil suplantar un negocio y enviar correos electrónicos haciéndose pasar por éste. Si alguien quiere que perdamos imagen de marca, esta puede ser una técnica fácil de llevar a cabo.
Para esta sí que no tenemos solución, ya que es tarea del receptor implantar algún tipo de filtro anti-spam, pero en caso de detección, también es posible denunciarlo a las autoridades.
Ataques de Denegación de Servicio
Este ataque es algo más complejo de realizar. Consiste en enviar hacia nuestra página web tal cantidad de tráfico que nuestros servidores no sean capaces de atenderlo. De esta manera no podrían atender ni las solicitudes del atacante ni las solicitudes del usuario legítimo que accede a nuestra tienda online para realizar sus compras, perdiendo de esta manera un potencial cliente.
Para solucionar este complejo, la mejor solución es subcontratar el servicio de hosting con un Acuerdo de nivel de servicio que nos asegure un 99% de tiempo de alta del servicio. De esta manera será responsabilidad del proveedor el que nuestra tienda esté siempre operativa.
Defacement
Con este nombre se conoce a un tipo de ataque sobre nuestra página web en el que los datos de clientes no se ven afectados, pero sí el aspecto de la página web, apareciendo la página web con información falsa, jocosa o de cualquier otro tipo, que a fin de cuentas supone un fuerte impacto sobre nuestra imagen de marca.
Para conseguirlo los ciberdelincuentes habran seguido alguno de los siguientes caminos:
- Habran robado la contraseña de acceso al panel de gestión de nuestra web por haber utilizado contraseña por defecto o fácilmente deducible.
- Utilizado alguna vulnerabilidad en nuestro gestor de contenidos web.
- Utilizado un troyano o algún otro tipo de malware para conseguir o bien las contraseñas o bien tomar el control del sistema y a través de él modificar la página web.
Para evitar este tipo de ataques es necesario:
- Utilizar contraseñas robustas para acceder al gestor de contenidos web.
- Mantener siempre actualizado el gestor de contenidos web.
- Mantener siempre actualizado todo el software de la empresa.
- Tiene siempre instalado y actualizado software antivirus en todos los sistemas de la empresa.
Robo de datos de clientes
Tal vez uno de los riesgos más importantes que afronta una empresa que tenga presencia y venta online.
La información de los clientes debe ser sagrada, máxime si se trata de información de pago. Si esta información se almacena en algún fichero, éste debe seguir estar inscrito en el registro de ficheros de AGPD y se debe cumplir con la LOPD a rajatabla.
Las formas en que un ciberdelincuente puede acceder a este fichero son las mismas que en el caso anterior:
- Robando contraseñas.
- Aprovechándose de vulnerabilidades en el software que utilizamos.
- Utilizando un troyano en nuestros sistemas.
O una combinación de ellas. Por esta razón las formas de evitarlo son las mismas que antes:
- Utilizar contraseñas robustas.
- Mantener actualizado todo el software.
- Concienciar al personal.
No hay que olvidar que los ciberdelincuentes tienen muchas formas de obtener beneficio de toda la información que roben de nuestros sistemas.
Click Fraud y Black SEO
Son variantes de los casos anteriores. En ellos, el ciberdelincuente no modifica de una forma visible nuestra página web. Lo hace de una forma invisible con el objetivo final de obtener algún beneficio económico.
Las modificaciones que se realizan van desde añadir código a la página web de manera que al visitarla la página está “haciendo clic” sobre anuncios online sin realmente visitarlos (aumentando así el número de visitas de una web, su posicionamiento web y recibiendo dinero por los clics realizados procedentes de anuncios ocultos). A esto se le conoce como Click Fraud.
Por otra parte, si el atacante quiere mejorar su posicionamiento en Google, puede hacerlo de una forma ilegítima (Black SEO) y utilizar nuestra web para añadir enlaces (ocultos) a la misma, de manera que Google considere su web más “interesante” para las búsquedas de los usuarios.
Estos ataques por sí solos no son peligrosos ni para los usuarios ni para la empresa, pero una vez descubiertos suponen una pérdida de confianza por parte de los clientes, puesto que no suelen venir solos y si el ciberdelincuente ha podido utilizar nuestra web para realizar Click Fraud, la habrá podido utilizar también para robar datos de tarjetas y demás.
La forma de evitar esto tipos de ataques son las mismas en los casos anteriores, actualizar, actualizar y actualizar y concienciar y concienciar.
Que no nos cojan con las defensas bajas
Estar posicionados en Internet es absolutamente imprescindible hoy en día, y además con periodos como el navideño o el fin de semana del Black Friday, más. Pero no hay que olvidar que en Internet se esconden oscuros personajes ante los cuales debemos defendernos.
En periodos de gran cantidad de tráfico web como estos, se nos puede colar uno de estos personajes, modificarnos la web y hacernos mucho daño. A nosotros y a nuestra imagen. Por eso es necesario conocer las amenazas que nos acechan y defendernos ante ellas.
Asi que recordad. ¡Que no nos cojan con las defensas bajas! ¡Y buen Black Friday!