Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.

 

Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.
A continuación se describirán las principales ciberamenazas que utilizan los delincuentes, diferenciando si el vector de ataque son las personas o el sistema.

3.3 Ataques dirigidos contra el sistemas o las personas

Este tipo de ciberamenazas combinan las dos vías de entrada descritas anteriormente. Los ciberdelincuentes ponen en riesgo los portales de comercio electrónico, valiéndose tanto de ataques contra el sistema como de ataques contra las personas. En función de la vía de entrada elegida el ataque tendrá unas consecuencias u otras Ilustración 8 Ciberamenazas contra sistema y personas como se explicará a continuación.

3.3.1 Phishing

Phishing es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta. Una vez que los cibercriminales obtienen la información la usarán para cometer cualquier tipo de fraude.

El phishing como la mayoría de las ciberamenazas se realiza utilizando técnicas de ingeniería social persuadiendo al usuario para que realice una acción que será perjudicial para la víctima.

Phishing realizado contra los miembros de la organización El phishing realizado contra los miembros de la organización es común que se realice por medio del envío masivo de correos electrónicos. Estos correos masivos suelen incluir enlaces a páginas web falsas, propiedad del estafador. Estas páginas webs falsas, pedirán información confidencial a la víctima alegando que se está realizando cualquier tipo de mantenimiento o que se ha realizado un cargo en su cuenta entre otros tipos de engaños. El phishing también puede realizarse utilizando otros medios como una llamada telefónica, mensajes de texto o SMS (smishing), redes sociales, mensajería instantánea, etc.

En este ejemplo de un phishing por correo electrónico realizado a un conocido banco se pide al usuario que haga click en el enlace adjunto. Alegando que se ha producido actividad inusual en la cuenta y que la han bloqueado. Una vez que la víctima cae en el engaño y hace
click en el enlace adjunto esta será redirigida a una página web fraudulenta con la misma estética que la página web original. Una vez que la víctima es redirigida a la web fraudulenta se la pedirá que se autentifique por medio de su DNI (Documento Nacional de Identidad) y clave de acceso.

Una vez que la víctima es validada se la pedirá que introduzca los datos de su tarjeta de crédito.

Cuando ha terminado de introducir los datos la víctima es redirigida a la web oficial del banco por lo que esta no será consciente de que la han robado información confidencial.

Phishing alojado en el sistema

El phishing alojado el sistema informático de una tienda virtual tiene un objetivo muy distinto al realizado contra las personas. Mientras que el ejemplo anterior tenía como objetivo el robo de información confidencial el phishing alojado en el software de la organización tiene como objetivo alojar las campañas fraudulentas en los servidores de la empresa.
Para acceder al sistema informático de la organización el cibercriminal explota vulnerabilidades del software de la tienda virtual debido a malas configuraciones o falta de actualizaciones del sistema. También puede acceder por medio de cualquier técnica descrita en los ataques realizados contra las personas.

Una vez que ha conseguido acceder por ejemplo al servidor web de la organización almacenará la página web fraudulenta de la entidad a la que está suplantando. Utilizando esta técnica el ciberdelincuente se aprovecha de la capacidad computacional de la organización para perpetrar sus delitos.

3.3.2 Defacement

El objetivo de este tipo de ataque, independientemente de la forma en que es llevado a cabo, es modificar una página web total o parcialmente.

Para ello pueden acceder al gestor de contenidos o el servidor web de la organización por medio de dos vías de entrada como es el personal de la organización o el sistema informático que da soporte a la tienda virtual. Defacement realizado contra los miembros de la organización En este caso el cibercriminal accede a la organización gracias a una mala forma de actuar de alguno de los miembros de la organización.

El delincuente consigue acceder a la tienda virtual generalmente utilizando técnicas de ingeniería social, phishing o malware o una combinación de ambas. Por medio de las técnicas anteriores obtendrá las credenciales necesarias para acceder a la tienda virtual y poder cometer el delito.
Defacement realizado contra el sistema En este caso el cibercriminal explota vulnerabilidades de la tienda virtual debido a malas configuraciones o falta de actualizaciones.

Un gestor de contenidos desactualizado o mal configurado podría ser una vía de entrada a la tienda virtual por parte del cibercriminal. En la mayoría de las ocasiones suelen modificar textos o incluir imágenes llamativas en la página principal de la web víctima. Las motivaciones pueden ser varias, pero el principal denominador común es que tienen carácter reivindicativo (político, sociocultural, publicidad de un grupo de ciberdelincuentes,…) además de dañar la imagen corporativa de la entidad. En algunos casos un cibercriminal realiza este tipo de ataque por motivos económicos.