Tiendas virtuales: la gallina de los huevos de oro de los cibercriminales

Actualmente, llega a parecer extraño imaginar a alguien yendo a una tienda física para comprar un celular o algún otro gadget que esté de moda. Desde que se popularizaron las tiendas virtuales —eCommerce—, es mucho más fácil (y muchas veces hasta más barato) adquirir productos de consumo en ellas: sólo se necesita navegar en el sitio, escoger el artículo deseado y pagar con transferencia bancaria o tarjeta de crédito o débito. Las redes sociales y las evaluaciones en páginas especializadas ayudan a escoger y cumplen la función de los vendedores de las tiendas cuando se trata de despejar las dudas del consumidor. 

Sin embargo, no todas son flores. Desde los inicios de la humanidad, los mercaderes tuvieron que lidiar con robos, hurtos y fraudes de manera constante. Nada podría indicar que en internet las cosas serían distintas. Con la llegada del eCommerce, surgieron riesgos cibernéticos específicos de esta industria. Como es cada vez más fácil crear una tienda virtual, los comercios no siempre respetan los principios básicos de seguridad cibernética.

Resulta fácil entender por qué, a lo largo del año 2018, el eCommerce se ha convertido en el segundo mayor blanco de ataques de phishing; con 6 mil incidentes identificados por Axur, este sector sólo quedó por detrás del segmento financiero, que registró unas increíbles 10 mil amenazas. Las tiendas virtuales son blancos fáciles y lucrativos para la ciberdelincuencia, que ya cuenta con una serie de técnicas para causar perjuicios financieros y daños morales (especialmente en el caso de sitios de pequeño porte desarrollados con poco esmero y sin las adecuadas soluciones para la protección de datos digitales). 

El paraíso de los golpistas

Existen diversos motivos que hacen que el eCommerce sea tan atractivo para quien desea dar golpes online. Veamos algunos ejemplos: 

• Facilidad para el fraude: el comercio de tarjetas de crédito robadas o clonadas es una realidad y usted ya lo sabe. Para los defraudadores, alcanza con utilizar una tarjeta desviada para adquirir artículos de una tienda y que sean enviados a la comodidad de su hogar. Si algún sitio tuviera mecanismos antifraude, sólo deberán buscar algún otro: miles de tiendas venden los mismos artículos. De la misma manera, si la tarjeta fuera rechazada, un hacker no tendrá ninguna dificultad para conseguir otra y continuar intentando hasta lograr su cometido; 
• Poca seguridad: claramente, las grandes tiendas minoristas invierten en seguridad de la información, pero no se puede decir lo mismo de la “tiendas de garaje”. Como ya dijimos antes, hoy en día existen decenas de servicios y plataformas prontas que le permiten crear un comercio electrónico desde cero sin ningún esfuerzo. Lamentablemente, el que opta por ese camino se olvida de protegerse, desde el inicio, contra el ataque de agentes maliciosos; 
• Óptima relación riesgo-recompensa: un fraude fallido difícilmente tendrá alguna consecuencia negativa para el criminal —más aún en México, país que todavía no existe un catálogo en algún Código Penal especialmente para los delitos cibernéticos. Los hackers saben que difícilmente serán apresados. Incluso un fraude fructífero puede demorar meses para que sea identificado, lo que hace que sea demasiado tarde para rastrear al responsable o recuperar los daños. O sea, se trata de una práctica con bajo riesgo y que ofrece óptimas recompensas financieras;
• Símbolo de estatus: tal como a los delincuentes “convencionales”, por así decirlo, a los ciberdelincuentes les gusta hacer ostentación de su vida fuera de la ley. No es difícil encontrar golpistas ufanándose en foros o comunidades cerradas luego de adquirir artículos de lujo —celular de última generación, ropas de marca, relojes importados— y de determinada tienda. Cuánto más exitosos son sus fraudes, más estatus, fama y respeto ganan en el mundo de la ciberdelincuencia. 

Todos estos factores (y algunos otros) transforman al eCommerce en un verdadero pozo de oro para quien desee obtener ganancia fácil atacando a terceros en internet. Esas características del sector lo vuelven seductor hasta para quien está recién iniciando en el mundo de la ciberdelincuencia, ya que muchos de los ataques no exigen grandes habilidades o conocimiento técnico para poder llevarlos a cabo.

La creatividad de una mente criminal

Cuando hablamos, por ejemplo, de phishing en el eCommerce, sólo basta con que el delincuente desarrolle o compre una pantalla falsa que simule a la perfección a la página de un producto de la tienda en cuestión. A continuación, sólo necesita enviar un email invitando a las víctimas a acceder a la pantalla falsa e incentivándolos a comprar el artículo (que ni siquiera existe). Todo el dinero va para el golpista, mientras que el consumidor va a esperar eternamente que su compra llegue. Se trata de una situación que conlleva daños tanto al internauta como a la presencia digital de la tienda real.

Asimismo, cada vez es más común la incursión en las gift cards, las famosas tarjetas de regalo. Como no es necesario probar su identidad para utilizarlas, comenzaron a ser robadas, vendidas y cambiadas en la deep web. Hoy en día, los delincuentes más habilidosos incluso consiguen generar gift cards de determinada tienda indefinidamente. ¿Cómo? Cuando consiguen aprender el algoritmo utilizado por el comercio para generar los códigos, en teoría aleatorios, de cada tarjeta. Se trata de un golpe que puede traer perjuicios financieros millonarios para la empresa afectada.

Otra de las tácticas comunes que vemos son: la verificación automática vía SMS (que no es más que la técnica empleada para superar la autenticación de dos factores hecha a través de mensajes de texto para identificar a un cliente); la exploración de brechas estructurales en el sitio (que existen debido a la falta de preocupación en la seguridad digital en el desarrollo del área digital de la tienda); y el uso de credenciales de administrador para invadir los sistemas del sitio en cuestión. Esas credenciales pueden obtenerse de filtraciones, a través de ataques de fuerza bruta o por vía del credential stuffing.

Como diría el proverbio: más vale prevenir...

Justamente, por causa de estos peligros es que es tan importante monitorear todos los canales posibles de internet —abiertos y cerrados, de la surface o de la deep web— para identificar eventuales amenazas antes que estas causen algún daño financiero o moral efectivo a su empresa. Las soluciones de Axur existen para ayudarlo: emitimos notificaciones en el caso de que algo relacionado con su marca sea detectado: una filtración, un servicio de falsificación de vouchers o hasta una simple discusión de cómo aprovechar una brecha en sus sistemas. ¡Entre en contacto con nosotros y entérese cómo podemos ayudarlo a librarse de los ciberdelincuentes!