Los ataques a sitios de comercio electr贸nico aumentan 43% en cuatro a帽os

Seg煤n Trustwave, los delincuentes que anteriormente hab铆an atacado sistemas de punto de venta, han cambiado su enfoque hacia el comercio electr贸nico; el robo de datos de los titulares de tarjetas son valiosos y f谩ciles de monetizar.

Trustwave, compa帽铆a global especializada en tecnolog铆as y servicios de seguridad de la informaci贸n para los negocios, informa que el panorama criminal cibern茅tico de 2009 a 2013 registr贸 un incremento del 43% en los ataques a comercio electr贸nico. De 11% de las investigaciones forenses en 2009, a 54% en 2013.

De acuerdo al Reporte Online de Seguridad Global de Trustwave, hay algunos factores que impulsan este aumento. En primer lugar, en zonas geogr谩ficas donde la tecnolog铆a chip y pin (EMV) ha sido ampliamente adoptada, los delincuentes que anteriormente hab铆an atacado sistemas de punto de venta, han cambiado su enfoque hacia el comercio electr贸nico.

Cada tarjeta de cr茅dito/d茅bito con chip y PIN contiene dos c贸digos de seguridad diferentes, uno en la banda magn茅tica y el otro en el chip. Los sistemas de seguridad actuales hacen que sea casi imposible clonar una tarjeta de pago utilizando el c贸digo en el chip, sin embargo, si los delincuentes obtienen acceso a los n煤meros de cuenta de los tarjetahabientes y las fechas de vencimiento, pueden utilizar el c贸digo de la banda magn茅tica para hacer compras en sitios de comercio electr贸nico.

Otra raz贸n para el aumento en los ataques de comercio electr贸nico, es la relativa facilidad con la cual pueden llevarse a cabo. Las ventas e-Commerce se realizan a trav茅s de aplicaciones web, muchas de las cuales se encuentran repletas de vulnerabilidades de seguridad. De las miles de aplicaciones que los expertos de Trustwave analizaron en busca de vulnerabilidades en el 2013, se encontr贸 que un 96% de ellas ten铆a al menos una debilidad grave y un promedio de 13 vulnerabilidades en total por aplicaci贸n. Las aplicaciones e-Commerce con sistemas ineficientes de protecci贸n se est谩n convirtendo en los blancos ideales para un ataque.

鈥淗emos visto que el m茅todo de infiltraci贸n de c贸digo intruso -SQL Injection- es uno de los vectores de ataque m谩s comunes que aprovechan los delincuentes, principalmente porque es f谩cil de explotar, y porque le da al atacante acceso directo a las bases de datos que almacenan informaci贸n de los titulares de tarjetas de transacciones en el sistema de comercio electr贸nico. Los hackers tambi茅n pueden implantar un malware espec铆ficamente dise帽ado para encontrar, agregar y depurar datos de los tarjetahabientes de sitios de e-Commerce. Este tipo de malware es bastante f谩cil de obtener en el mercado negro鈥, se帽al贸 Josh Shaul, Vicepresidente de Gesti贸n de Producto en Trustwave.

Trustwave se帽al贸 que los proveedores ofrecen diversos paquetes, algunos incluso brindando servicio de atenci贸n al cliente las 24 horas. La t茅cnica m谩s com煤n que utiliza el malware para hacerse de los datos del tarjetahabiente se denomina memory scraping. El malware analiza la memoria del sistema y ejecuta cualquier dato que encuentra a trav茅s de algoritmos sencillos dise帽ados para localizar los datos del titular del sistema de comercio electr贸nico.

Adem谩s de las razones t茅cnicas que facilitan estos ataques, el robo de datos de tarjetas de cr茅dito se convierte en un modelo de negocio rentable. Los datos de los titulares de tarjetas robados de plataformas de comercio electr贸nico son valiosos y f谩ciles de monetizar. Hay un mercado negro activo con abundantes compradores dispuestos a pagar hasta 50 d贸lares por tarjeta, e incluso m谩s. Alternativamente, los criminales cibern茅ticos utilizan los datos de las tarjetas robadas para comprar art铆culos de precios elevados que luego pueden vender en l铆nea con un descuento significativo. Algunos de los criminales m谩s sofisticados utilizan los datos robados para la fabricaci贸n de tarjetas de cr茅dito falsificadas, y despu茅s contratan individuos para hacer la compra y venta en persona y posteriormente, les pagan una comisi贸n por asumir los riesgos de usar una tarjeta falsificada.

Para prevenir estos ataques, Trustwave recomienda la implementaci贸n de controles de seguridad b谩sicos. Si una empresa o persona desarrolla su propio sitio web de comercio electr贸nico, debe asegurarse de que su equipo t茅cnico considere a la seguridad como una de las m谩ximas prioridades. Hay algunos recursos 煤tiles de c贸digo abierto disponibles, sin costo, que ofrecen herramientas de seguridad para los desarrolladores sin tener que construir sus propios controles de seguridad desde cero. Otro paso importante es mantener los sistemas y el software al d铆a con las actualizaciones m谩s recientes. Un 85% de los exploits que se detectaron en 2013 fueron de plug-ins de terceros.

Tambi茅n recomienda la realizaci贸n automatizada de an谩lisis de vulnerabilidades para todas sus aplicaciones web, seguido de pruebas de penetraci贸n de sus activos m谩s importantes. Los an谩lisis de vulnerabilidades se deben ejecutar al menos una vez cada tres meses, pero en caso de que los scanners pasen por alto posibles vulnerabilidades, es importante llevar a cabo una prueba de penetraci贸n manual de inmersi贸n profunda en sus aplicaciones por lo menos una vez al a帽o.

Cuando el escaneo y las pruebas de penetraci贸n identifican vulnerabilidades de seguridad dentro de sus aplicaciones, es fundamental remediarlas de inmediato. Tambi茅n se debe considerar la implementaci贸n de un firewall para aplicaciones web, para evitar que un atacante tome ventaja de sus debilidades. Dado que muchos ataques incluyen al malware como el arma de elecci贸n, es importante implementar tecnolog铆as anti-malware, como puertas de enlace que pueden detectar y filtrar el malware en tiempo real antes de que infecte el negocio.

Incluso con estas tecnolog铆as y servicios instalados correctamente, los atacantes todav铆a pueden irrumpir en caso de que no cuente con el personal y las habilidades necesarias para instalar, ajustar, monitorear y administrar dichas herramientas. Para ello, Trustwave recomienda que las empresas incrementen su personal interno de TI mediante la asociaci贸n con un equipo de expertos cuya 煤nica responsabilidad sea centrarse en la seguridad. De esa manera se podr谩n focalizar los esfuerzos en otras actividades de mayor relevancia.

Ilustraci贸n: wk1003mike 漏 Shutterstock.com


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.