¿Qué consecuencias puede tener una tienda online desprotegida?

Aunque muchas plataformas de e-commerce cuentan con algunas medidas de seguridad enfocadas en proteger el acceso a la plataforma, no suelen disponer de la seguridad necesaria sobre la información con la que opera ni sobre la infraestructura con la que está montada la tienda online.

El comercio electrónico está expuesto a múltiples amenazas, teniendo en cuenta la cantidad de información que se maneja, disponer de la seguridad adecuada se vuelve crucial para evitar que salga a la luz información los datos de clientes, del propio administrador o incluso datos bancarios. Todo esto sin entrar en las pérdidas que obtendrías por caídas de servicio o por la responsabilidad de la tienda sobre la protección de esos datos.

Además, en el comercio online, al no realizarse las transacciones de forma presencial, la confianza se vuelve todavía más importante si cabe. Los fallos de seguridad en un comercio electrónico es una de las causas que puede menoscabar esta confianza, ya que el usuario espera que tanto la transacción como los datos obtenidos de dicha transacción estén debidamente protegidos. Una vez perdida esta confianza por motivos de seguridad, es realmente complicado recuperarla.

Defacement: suplantación de la web

Esta técnica consiste en modificar total o parcialmente la tienda online, ya sea para añadir páginas de contenido en beneficio de los ciberdelincuentes sin que el propietario del e-commerce se entere o modificando toda la página web. Esto lo logran utilizando ciberataques para acceder al gestor de contenidos o al servidor web.

Ataques dirigidos contra el sistema

Otro método muy común que utilizan los ciberdeliencuentes consiste en buscar de forma automática las plataformas o los servidores, con vulnerabilidades de software conocidas para lanzar un ciberataque y tomar el control de la plataforma.

Los principales métodos utilizados por este tipo de ataques son:

• Malware: introduciendo este tipo de software malicioso pueden obtener información de la web o incluso tomar el control de esta.
• CrossSite Scripting “XSS”: se trata de una brecha de seguridad que se produce en páginas web generadas dinámicamente. Esta vulnerabilidad se explota enviando un script que se activa cuando lo lee el navegador de un usuario o una aplicación vulnerable. El atacante lo puede utilizar para cambiar configuraciones de usuarios, secuestrar cuentas, exponer conexiones SSL acceder a sitios restringidos o instalar publicidad en la web.
• Ataques de inyección SQL: infiltra código intruso que utiliza una vulnerabilidad presente en una aplicación para realizar consultas a una base de datos.
• Cross Site Request Forgery “CSRF”: este tipo de ataque obliga a un usuario legítimo a ejecutar acciones no deseadas que se dirigen a las peticiones de cambio de estado, ya que el atacante no tiene forma de ver la respuesta a la solicitud. Este tipo de ataques puede obligar al usuario a transferir fondos, cambiar dirección de correo, o incluso si la víctima es un administrador, comprometer toda la tienda online.