Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.

 

Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.
A continuación se describirán las principales ciberamenazas que utilizan los delincuentes, diferenciando si el vector de ataque son las personas o el sistema.

3.1 Ataques dirigidos contra los sistemas

En este tipo de amenazas el ciberdelincuente busca explotar vulnerabilidades relacionadas con el software que da soporte a la tienda virtual como es el gestor de contenidos o el servidor web donde está alojada la tienda entre otros.
Este tipo de vulnerabilidades se debe normalmente a malas configuraciones o falta de actualizaciones por parte del software que conforma la tienda virtual.

 

A continuación se describirán las principales vulnerabilidades que los cibercriminales explotan en su beneficio:

Pago con tarjeta robada: este tipo de fraude consiste en que un ciberdelincuente utiliza el número de una tarjeta, bien obtenido de la tarjeta física o robando la misma, para realizar compras en la tienda virtual.

Malware: palabra que nace de la unión de los términos software malintencionado «malicious software». Dentro de esta definición tiene cabida un amplio elenco de programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc. La nota común a todos estos programas es su carácter dañino o lesivo. Los ciberdelincuentes en ocasiones utilizan servidores o páginas web vulneradas para distribuir malware sin que el propietario tenga conocimiento de ello.

Cross-Site Scripting «XSS»: brecha de seguridad que se produce en páginas web generadas dinámicamente. En un ataque por XSS, una aplicación Web envía con un script que se activa cuando lo lee el navegador de un usuario o una aplicación vulnerable. Dado que los sitios dinámicos dependen de la interacción del usuario, es posible ingresar un script malicioso en la página, ocultándolo entre solicitudes legítimas.
Los puntos de entrada comunes incluyen buscadores, foros, blogs y todo tipo de formularios en línea en general. Una vez iniciado el XSS, el atacante puede cambiar configuraciones de usuarios, secuestrar cuentas, envenenar cookies, exponer conexiones SSL, acceder sitios restringidos y hasta instalar publicidad en el sitio víctima.

Ataques de inyección SQL: inyección SQL es un método de infiltración de código intruso que se sirve de una vulnerabilidad presente en una aplicación en el nivel de validación de entradas para la realización de consultas a una base de datos. El origen de la vulnerabilidad radica en la incorrecta validación de las variables utilizadas en un programa que contiene o genera, código SQL.

Cross Site Request Forgery «CSRF»: este tipo de ataque obliga a un usuario legítimo a ejecutar acciones no deseadas en una aplicación web en la que actualmente está autenticado. Los ataques CSRF se dirigen específicamente a las peticiones de cambio de estado, no el robo de datos, ya que el atacante no tiene manera de ver la respuesta a la solicitud. Con de ayuda de ingeniería social (como el envío de un enlace por correo electrónico), un atacante puede engañar al usuario de una aplicación web para ejecuciones a elección del atacante.

Si la víctima es un usuario normal, un ataque exitoso CSRF puede obligar al usuario a realizar solicitudes fraudulentas como la transferencia de fondos, el cambio de su dirección de correo electrónico, y así sucesivamente. Si la víctima es un administrador, CSRF puede comprometer toda la aplicación web.

Gestión incorrecta de errores: controlar la información que facilitan las páginas de errores es importante, ya que pueden dar información sensible sobre cómo está construida la aplicación web y del software usado para su funcionamiento.