theNet by CLOUDFLARE

Seguridad durante las fiestas navideñas

Preparar el comercio electrónico para las próximas amenazas

No es de extrañar que la temporada navideña traiga consigo mayores oportunidades para los ciberataques, en los que el sector del comercio electrónico es el principal objetivo. Independientemente de lo que una organización venda en Internet, ya sea ropa, productos electrónicos, experiencias de viaje o cualquier otro artículo, las promociones navideñas son, por desgracia, un objetivo popular para los atacantes, ya que los equipos informáticos y de seguridad suelen estar sobrecargados durante esas fechas y es más probable que los pillen desprevenidos.

Basándonos en esta tendencia, la cuestión no es si hay que prepararse para un ataque, sino más bien qué tipos de ataques suponen el mayor riesgo para tu empresa.

Una seguridad eficaz no solo requiere cierto grado de priorización. También requiere establecer una sólida base de protección contra las amenazas comunes a las aplicaciones web, como los ataques DDoS y las explotaciones de vulnerabilidades de día cero, así como predecir qué tipos de ataques más especializados es probable que afecten a la empresa durante la temporada navideña, y las medidas para prepararse en consecuencia.

Para poner en marcha el proceso de priorización, puede ayudarte responder a las cuatro preguntas siguientes. Esto permitirá a las organizaciones de comercio electrónico estar mejor posicionadas para tener éxito en esta temporada navideña, que puede suponer hasta un 30 % de sus ingresos anuales.

  1. ¿Hasta qué punto tus productos son sensibles al precio?

  2. ¿Tus productos están disponibles en calidades limitadas?

  3. ¿Utilizas un sistema de pago de terceros?

  4. ¿Aceptas pagos en criptomoneda?


Pregunta 1: ¿Hasta qué punto tus productos son sensibles al precio?

En el caso de algunos productos y servicios, como los de bajo coste, los muy comercializados o los de consumo masivo, las pequeñas diferencias de precio entre empresas competidoras pueden influir considerablemente en las decisiones de compra de los clientes. Si durante una promoción navideña una empresa se ve ligeramente superada en precio por un competidor, esta podría sufrir una importante caída de las ventas.

Por esta razón, las empresas con productos sensibles a los precios deben ser especialmente cautelosas durante la temporada navideña con respecto a los bots de extracción de precios, que exploran un sitio web en busca de información sobre precios y se la proporcionan a la competencia. Con esta información, la competencia puede asegurarse de que sus productos tengan un precio ligeramente menor, lo que supone una ventaja significativa.

Los bots de extracción de precios pueden ser más difíciles de identificar que otros tipos de bots, ya que no conllevan consecuencias evidentes, como un aumento de las autenticaciones fallidas, compras inusuales o picos de nuevas cuentas de usuario. Las señales que ayudan a identificar los bots de extracción de precios incluyen:

  • Picos de tráfico que no coinciden con el comportamiento esperado de los consumidores, ya que los bots de extracción de precios exploran continuamente tu sitio web.

  • Rendimiento degradado del sitio, por la misma razón

  • Direcciones IP de origen del tráfico que apuntan a sitios de la competencia

Si identificas bots de extracción de precios en tu sitio, o sospechas que podrías ser su objetivo durante las promociones navideñas, tácticas como la limitación de velocidad podrían ayudar a evitar que afecten al rendimiento del sitio. No obstante, probablemente seguirá siendo necesario invertir en un servicio más avanzado de gestión de bots que utilice el aprendizaje automático e información detallada sobre amenazas para filtrar el tráfico automatizado.


Pregunta 2: ¿Tus productos están disponibles en cantidades limitadas?

Para algunos productos, la escasez es una táctica de marketing muy valiosa. Es el caso, por ejemplo, de la electrónica de consumo de gama alta, las entradas para conciertos, la moda de edición limitada e incluso los NFT.

Durante la temporada de compras navideñas, las empresas que venden estos productos deben tener mucho cuidado con los bots de acumulación de inventario (también conocidos como "Grinch bots"). Estos bots compran automáticamente productos o servicios más rápido de lo que pueden hacerlo los humanos, normalmente para venderlos con un margen de beneficio en un mercado de segunda mano. Las deportivas de edición limitada, por ejemplo, se han convertido en el objetivo de una categoría de bots especializados: los "sneaker bots".

Los efectos de los bots de acumulación de inventario (productos que se agotan en cuestión de minutos) no son difíciles de detectar. El problema es que, una vez que notas su presencia, el daño ya está hecho, y tus verdaderos clientes se sienten frustrados. Para evitar que estos bots logren su objetivo, considera aplicar tácticas como, por ejemplo:

  • Desafíos: la utilización de desafíos administrados garantiza que solo los usuarios reales puedan realizar una compra. Ahora hay disponibles alternativas a los CAPTCHA como desafíos administrados que confirman que un usuario es real sin la pésima experiencia de los CAPTCHA.

  • Limitación de la velocidad: para limitar la frecuencia con la que un bot puede comprar inventario.

  • Configuración de un "honeypot": un honeypot es un objetivo falso para los ciberdelincuentes que, cuando el malhechor accede a él, lo expone como malicioso. En el caso de un bot, un honeypot podría ser una página web del sitio prohibida a los bots por el archivo robots.txt. Los bots buenos leerán el archivo robots.txt y evitarán esa página web. Por el contrario, algunos bots maliciosos interactuarán con la página web. El seguimiento de la dirección IP de los bots que acceden al honeypot permite identificar y bloquear los bots malos.

Por desgracia, algunas de estas tácticas pueden perjudicar a la experiencia del usuario, y puede que ni siquiera detengan a los bots más avanzados. Por lo tanto, es posible que las empresas que se enfrentan a la amenaza de los bots de acumulación de inventario también deban invertir en una gestión de bots dedicada, que utilice el aprendizaje automático y el análisis avanzado del comportamiento.


Pregunta 3: ¿Aceptas pagos con tarjeta de crédito?

Toda empresa de comercio electrónico debe proteger su sistema de pago contra diversas amenazas durante la temporada navideña. Por ejemplo, los ataques de relleno de tarjetas de crédito bombardean un sistema de pago con números de tarjetas de crédito robadas, y los ataques agecart sustraen los números de las tarjetas de crédito de los clientes.

Sin embargo, las empresas que utilizan servicios de pago de terceros tienen aún algo más de lo que preocuparse: proteger la API de pago. Si la API tiene una vulnerabilidad desconocida, o es susceptible a los diez principales riesgos de seguridad de las API, es posible que los ciberdelincuentes puedan interceptar la información de las tarjetas de crédito. La misma consecuencia podría tener un ataque de autenticación, donde el atacante roba una clave de API relevante, o intercepta y utiliza un token de autenticación.

Para empezar, la primera medida para evitar estos ataques suele ser identificar las API. De todos los sectores, el minorista ha sido el que ha experimentado el segundo crecimiento más rápido del tráfico de la API. Por lo tanto, es importante que, en vísperas de la temporada navideña, las empresas de comercio electrónico utilicen un servicio de descubrimiento de puntos finales de API. Una vez identificados los puntos finales en riesgo, pueden emplear las tácticas siguientes:

  • Validación de esquema: en concreto, bloquear las llamadas de API que no se ajusten al "esquema" de la API, es decir, al patrón de solicitudes que se supone que debe recibir.

  • Detección de abusos específicos de las API: este servicio permite comprender el tráfico abusivo y utilizar la limitación de velocidad centrada en la API para bloquear el tráfico excesivo y abusivo de la API, según la información actualizada al minuto del tráfico de cada punto final de API.

Las tácticas de seguridad de la API también son importantes para otros servicios de terceros. Por ejemplo, rastreadores de inventario, servicios basados en la ubicación y herramientas de precios dinámicos. Sin embargo, los sistemas de pago pueden ser el objetivo más atractivo debido a su uso de datos financieros. Por tanto, merecen especial atención durante las promociones navideñas.


Pregunta 4: ¿Aceptas pagos en criptomoneda?

Todas las transacciones en criptomonedas se registran en una cadena de bloques correspondiente, una larga lista de registros que residen en una red descentralizada de muchos ordenadores. Para conectar las tiendas en línea a estas redes descentralizadas, la mayoría de las empresas utilizan una API especializada o un servicio de puerta de enlace.

En teoría, las transacciones de cadenas de bloques no pueden falsificarse ni modificarse, pero esto no es cierto en el caso de la API correspondiente. Estos conectores son objetivos habituales de los robos de criptomonedas. Puesto que las criptomonedas son un mercado en rápida evolución y no regulado, es posible que sus API y puertas de enlace correspondientes no sean objeto del mismo escrutinio de seguridad que otras herramientas de pago.

Para evitar que estas amenazas perturben los pagos con criptomoneda durante la temporada navideña, las empresas de comercio electrónico deberían analizar las mismas tácticas de seguridad de la API mencionadas anteriormente, es decir, la validación de esquema y las reglas WAF.


Continuación del proceso de priorización

La respuesta a estas preguntas constituye un paso importante del proceso de priorización de riesgos, pero es solo el principio. Idealmente, una empresa podría analizar los datos de ataques de temporadas navideñas anteriores para prever las futuras amenazas. También pueden tener en cuenta factores como:

  • Qué tipos de ataques podrían tener el mayor impacto financiero, ya sea por pérdida de ingresos o por costes de mitigación

  • Qué tipos de ataques conllevan el mayor riesgo de pérdida de datos o de datos en riesgo

  • Qué ataques tienen más probabilidad de causar tiempo de inactividad del sitio

Cloudflare puede ayudar con la priorización. El Centro de seguridad de Cloudflare se incluye en todos los planes y ayuda a las organizaciones a inventariar sus recursos informáticos, enumerar los posibles riesgos de seguridad e investigar más fácilmente las amenazas potenciales.

Además, los servicios de seguridad de aplicaciones de Cloudflare pueden ayudar a mitigar todas las amenazas descritas en este artículo, así como los ataques DDoS, los ataques de bots de todo tipo, las vulnerabilidades de día cero y mucho más.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.


CONCLUSIONES CLAVE
  • Qué amenazas especializadas en aplicaciones web suponen un mayor riesgo para tu organización

  • Cuándo prestar especial atención a la seguridad de las API, la gestión de bots y otras consideraciones acerca de la seguridad

  • Por qué reforzar tu postura de seguridad es importante durante las fiestas


Recursos relacionados


Más información sobre este tema

Más información sobre consideraciones importantes acerca de la seguridad de las aplicaciones web. Consigue el informe de Gartner Magic Quadrant para la protección de aplicaciones web y de API.

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?