Trustwave, compañía global especializada en tecnologías y servicios de seguridad de la información para los negocios, informa que el panorama criminal cibernético de 2009 a 2013 registró un incremento del 43% en los ataques a comercio electrónico. De 11% de las investigaciones forenses en 2009, a 54% en 2013.
De acuerdo al Reporte Online de Seguridad Global de Trustwave, hay algunos factores que impulsan este aumento. En primer lugar, en zonas geográficas donde la tecnología chip y pin (EMV) ha sido ampliamente adoptada, los delincuentes que anteriormente habían atacado sistemas de punto de venta, han cambiado su enfoque hacia el comercio electrónico.
Cada tarjeta de crédito/débito con chip y PIN contiene dos códigos de seguridad diferentes, uno en la banda magnética y el otro en el chip. Los sistemas de seguridad actuales hacen que sea casi imposible clonar una tarjeta de pago utilizando el código en el chip, sin embargo, si los delincuentes obtienen acceso a los números de cuenta de los tarjetahabientes y las fechas de vencimiento, pueden utilizar el código de la banda magnética para hacer compras en sitios de comercio electrónico.
Otra razón para el aumento en los ataques de comercio electrónico, es la relativa facilidad con la cual pueden llevarse a cabo. Las ventas e-Commerce se realizan a través de aplicaciones web, muchas de las cuales se encuentran repletas de vulnerabilidades de seguridad. De las miles de aplicaciones que los expertos de Trustwave analizaron en busca de vulnerabilidades en el 2013, se encontró que un 96% de ellas tenía al menos una debilidad grave y un promedio de 13 vulnerabilidades en total por aplicación. Las aplicaciones e-Commerce con sistemas ineficientes de protección se están convirtendo en los blancos ideales para un ataque.
“Hemos visto que el método de infiltración de código intruso -SQL Injection- es uno de los vectores de ataque más comunes que aprovechan los delincuentes, principalmente porque es fácil de explotar, y porque le da al atacante acceso directo a las bases de datos que almacenan información de los titulares de tarjetas de transacciones en el sistema de comercio electrónico. Los hackers también pueden implantar un malware específicamente diseñado para encontrar, agregar y depurar datos de los tarjetahabientes de sitios de e-Commerce. Este tipo de malware es bastante fácil de obtener en el mercado negro”, señaló Josh Shaul, Vicepresidente de Gestión de Producto en Trustwave.
Trustwave señaló que los proveedores ofrecen diversos paquetes, algunos incluso brindando servicio de atención al cliente las 24 horas. La técnica más común que utiliza el malware para hacerse de los datos del tarjetahabiente se denomina memory scraping. El malware analiza la memoria del sistema y ejecuta cualquier dato que encuentra a través de algoritmos sencillos diseñados para localizar los datos del titular del sistema de comercio electrónico.
Además de las razones técnicas que facilitan estos ataques, el robo de datos de tarjetas de crédito se convierte en un modelo de negocio rentable. Los datos de los titulares de tarjetas robados de plataformas de comercio electrónico son valiosos y fáciles de monetizar. Hay un mercado negro activo con abundantes compradores dispuestos a pagar hasta 50 dólares por tarjeta, e incluso más. Alternativamente, los criminales cibernéticos utilizan los datos de las tarjetas robadas para comprar artículos de precios elevados que luego pueden vender en línea con un descuento significativo. Algunos de los criminales más sofisticados utilizan los datos robados para la fabricación de tarjetas de crédito falsificadas, y después contratan individuos para hacer la compra y venta en persona y posteriormente, les pagan una comisión por asumir los riesgos de usar una tarjeta falsificada.
Para prevenir estos ataques, Trustwave recomienda la implementación de controles de seguridad básicos. Si una empresa o persona desarrolla su propio sitio web de comercio electrónico, debe asegurarse de que su equipo técnico considere a la seguridad como una de las máximas prioridades. Hay algunos recursos útiles de código abierto disponibles, sin costo, que ofrecen herramientas de seguridad para los desarrolladores sin tener que construir sus propios controles de seguridad desde cero. Otro paso importante es mantener los sistemas y el software al día con las actualizaciones más recientes. Un 85% de los exploits que se detectaron en 2013 fueron de plug-ins de terceros.
También recomienda la realización automatizada de análisis de vulnerabilidades para todas sus aplicaciones web, seguido de pruebas de penetración de sus activos más importantes. Los análisis de vulnerabilidades se deben ejecutar al menos una vez cada tres meses, pero en caso de que los scanners pasen por alto posibles vulnerabilidades, es importante llevar a cabo una prueba de penetración manual de inmersión profunda en sus aplicaciones por lo menos una vez al año.
Cuando el escaneo y las pruebas de penetración identifican vulnerabilidades de seguridad dentro de sus aplicaciones, es fundamental remediarlas de inmediato. También se debe considerar la implementación de un firewall para aplicaciones web, para evitar que un atacante tome ventaja de sus debilidades. Dado que muchos ataques incluyen al malware como el arma de elección, es importante implementar tecnologías anti-malware, como puertas de enlace que pueden detectar y filtrar el malware en tiempo real antes de que infecte el negocio.
Incluso con estas tecnologías y servicios instalados correctamente, los atacantes todavía pueden irrumpir en caso de que no cuente con el personal y las habilidades necesarias para instalar, ajustar, monitorear y administrar dichas herramientas. Para ello, Trustwave recomienda que las empresas incrementen su personal interno de TI mediante la asociación con un equipo de expertos cuya única responsabilidad sea centrarse en la seguridad. De esa manera se podrán focalizar los esfuerzos en otras actividades de mayor relevancia.
—
Ilustración: wk1003mike © Shutterstock.com
