Ninguna empresa puede pasar por alto las ciberamenazas, ya que provocan no sólo pérdidas económicas o perjuicio directo en caso de un incidente, sino que pueden conllevar una degradación considerable de la imagen corporativa y por tanto de la confianza de los clientes.
Las ciberamenazas a las que las tiendas virtuales están expuestas no difieren mucho de algunas amenazas «tradicionales» de un entorno offline. Existen muchas maneras en que los ciberdelincuentes pueden vulnerar un sistema. Por este motivo, es conveniente tener una visión global de las principales ciberamenazas a las que una tienda virtual está sometida.
Los ciberdelincuentes tienen principalmente dos formas de atacar a la tienda virtual y la información relacionada con ella como por ejemplo la cartera de clientes y los proveedores.
Podrán acceder por medio de las personas que trabajan en la empresa o por medio de vulnerabilidades propias de la tienda virtual como es el gestor de contenidos o el servidor web.

A continuación se describirán las principales ciberamenazas que utilizan los delincuentes, diferenciando si el vector de ataque son las personas o el sistema.

3.1 Ataques dirigidos contra las personas

Este tipo de ciberamenazas buscan engañar a las personas y que los ciberdelincuentes obtengan cualquier clase de beneficio, principalmente información confidencial. Las principales amenazas a las que los empleados de la empresa están expuestos son las siguientes:

3.1.1 Ingeniería social

La ingeniería social consiste en persuadir y engañar a una persona para influenciarla en sus acciones. Con la evolución de la tecnología y de las medidas técnicas de seguridad ha quedado patente que el eslabón más débil dentro de la cadena de seguridad es la persona que tiene acceso de una u otra forma a la información. La seguridad de la información no se garantiza únicamente con la instalación de antivirus, el uso de contraseñas robustas o el cifrado de la información confidencial, por poner algunas medidas.
En el siguiente ejemplo, la ingeniería social en combinación con otras técnicas juega un papel importante alegando a la curiosidad de las personas y la falta de precaución:

Una consecuencia que puede tener la técnica anterior en una empresa de comercio electrónico es que el ciberdelincuente acceda a información confidencial de la propia organización y de sus clientes. También puede obtener las credenciales de acceso al gestor de contenidos o CMS. Además, esta llave USB podría contener otros tipos de malware que podrían realizar cualquier otra acción maliciosa como cifrar todo el contenido del ordenador y los demás dispositivos conectados a la red o dar el control remoto de la máquina al ciberdelincuente. 
Este tipo de técnicas pueden ser realmente efectivas y peligrosas para una empresa. La información que manejan suele ser un bien muy preciado y si esta información cae en manos de los cibercriminales puede suponer graves perjuicios.
La ingeniería social es uno de los vectores de ataque más peligrosos y que más se está utilizando para acceder a las redes de las organizaciones, haciendo uso de los empleados de las propias organizaciones para vulnerar sus medidas de defensa.

3.1.1 Envío urgente

Otra técnica usada por los ciberdelincuentes, muy particularmente en las tiendas virtuales para obtener de manera fraudulenta un artículo, es la denominada «Envío urgente». En este tipo de fraude el cliente tiene mucha prisa por conseguir un artículo ya que es para un cumpleaños o cualquier otra fiesta y que pagará el artículo mediante transferencia bancaria. El responsable de la tienda recibe un comprobante escaneado de la transferencia bancaria que está falsificado. El comerciante al haber recibido el comprobante bancario por correo electrónico envía el artículo
lo antes posible sin antes ponerse en contacto con la entidad bancaria para comprobar que se ha ingresado el dinero.

3.1.2 Spear phishing

El spear phishing consiste en realizar ataques dirigidos, que se centra en una persona, grupo u organización en concreto. Generalmente el ataque se realiza por medio de correos electrónicos utilizando datos personales y conocidos de la víctima. Esto permite personalizar el mensaje y hacer que la víctima se sienta más confiada. Para realizar este tipo de ataque el ciberdelincuente se basa en información obtenida en redes sociales, blogs personales, y cualquier información personal que esté publicada en Internet.
El siguiente ejemplo muestra a un ciberdelincuente utilizando esta técnica:

El ciberdelincuente busca infectar a una víctima determinada. Esta víctima es el responsable de una tienda de comercio electrónico y se conecta al área de administración del gestor de contenidos desde su puesto de trabajo. El objetivo de los ciberdelincuentes es obtener las claves de acceso al área de administración de la tienda virtual. Para conseguir su objetivo el ciberdelincuente ha recabado información personal de la víctima por medio de las redes sociales. Después de cierta indagación descubrió que la víctima y su familia eran unos apasionados del esquí, además descubrió que su hijo pertenece a una escuela de esquí.

Una vez que la víctima descargue el documento PDF adjunto y lo ejecute -lo intente abrir es el modo más habitual, aunque realmente ejecuta instrucciones introducidas en él-, instala en su equipo un malware con el que el ciberdelincuente podrá ver las credenciales de acceso al gestor de contenido y desde allí modificar la tienda virtual para así afectar de manera negativa a su imagen corporativa.

3.1.3 Otros tipos de ciberamenazas

Además de las ciberamenazas anteriormente descritas existen otras que también centran su atención en el personal de la tienda:
Fraude amigo: en este caso el proceso de compra es legítimo, el pago, la entrega, etc. Sin embargo, una vez realizadas todas las actividades, el cliente declara la compra como fraudulenta en su banco, y el vendedor recibe una petición de devolución, no pudiendo recuperar la mercancía, se haga efectiva o no.
La triangulación: este método consiste en que el cliente realiza una compra en un comercio virtual fraudulento sin saberlo. El comercio fraudulento realiza el pedido a una tienda legítima pero paga por medio de una tarjeta robada, una vez el estafador ha recibido el producto le enviará el artículo al cliente legítimo. De esta manera el cliente y comerciante ven la transacción como legítima.