Los ciberataques más costosos en la industria del eCommerce

Publicado 21/04/2021

La seguridad se ha convertido en algo indispensable para evitar ciberataques a los eCommerce. Los consumidores compran cada vez más por Internet, por lo que las tiendas online están teniendo un gran ascenso; sin embargo, es importante recordar que todo lo que está en línea está al alcance de los piratas informáticos. El comercio electrónico, al ser uno de los sectores que más volumen tiene en internet, es precisamente uno de los más expuestos.

Los objetivos de los cibercriminales son de distinta índole, pero entre los más comunes se encuentran el robo de información, la suplantación de identidades y la paralización de redes informáticas. Por ello cuando una organización es víctima de un ataque no solo afecta el eCommerce en el corto plazo, sino que puede arruinar la credibilidad y prestigio de la empresa.

El crecimiento del e-commerce durante esta pandemia no solo ha contribuido en la reactivación de la economía del país, sino al mismo tiempo ha traído consigo una serie de desafíos en materia de ciberseguridad y los cuales continuarán ante esta nueva normalidad.

2 de cada 10 comercios han experimentado crecimientos mayores al 300%; en 2020 y para este 2021, el 19% planea que el comercio electrónico represente más del 30% de sus ventas totales, según la Asociación Mexicana de Venta Online (AMVO).

Sin embargo, pocos negocios demostraron tener la capacidad para atender la demanda, inclusive varias tiendas departamentales experimentaron malos episodios al ver sus sistemas desbordados; lo que lleva a cuestionar la confiabilidad de sus estrategias de ciberseguridad y capacidad de carga de trabajo.

Cualquier empresa que acepta pagos en línea corre el riesgo de sufrir un fraude. Por ejemplo, la Encuesta de Control y Fraude de Pagos de AFP de 2020 encontró que el 81% de las organizaciones fueron blanco de fraude de pagos en 2019. Asimismo, de acuerdo con Review 42, se prevé que el fraude con tarjeta no presente (CNP, por sus siglas en inglés) aumentará 14% para 2023.

En México, de acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), los fraudes cibernéticos crecieron 35% en el primer trimestre de 2019 respecto al mismo periodo de 2018, además de que estima que el fraude CNP habrá costado a los minoristas $130 mil millones de dólares desde 2019 y hasta 2023.

El mercado de e-commerce, y por tanto el riesgo de fraudes, es muy grande en nuestro país. En 2020 la campaña del Buen Fin generó 239 mil millones de pesos en ventas totales (107% más que en 2019) y se registraron 188.5 millones de transacciones (157% más que el año anterior). Las ventas online representaron 15.2% de las ventas totales, es decir, poco más de $36 mil millones de pesos, lo que significa un incremento de 225% en comparación con 2019.

Si bien la compra en línea es muy popular, este formato aumenta significativamente el riesgo de fraude. Tan solo en 2020, el fraude del CNP costó a las empresas 35,540 millones de dólares en todo el mundo. Los aumentos significativos en los ataques de fraude están causando grandes pérdidas para las empresas de nivel medio a empresarial, y este tipo de ataques están incluso entre las pequeñas empresas en línea.

En América Latina, las compañías tienen la posibilidad de disponer de servicios empresariales de Inteligencia Artificial que proveen la infraestructura necesaria para protegerse de transacciones fraudulentas y ahorrar los grandes costos que éstas generan. Lo cierto es que pocas empresas se han librado de estar en el centro de la diana, a pesar de su inversión en seguridad y en el talento que tienen contratado internamente. Por estas premisas, mira los 8 ciberataques más famosos en la última década dirigido a grandes empresas que la mayoría vende en línea.

 

2011- Sony PlayStation Network

En esta brecha de datos resultaron comprometidos los nombres, correos electrónicos, datos de acceso y otros datos personales de unos 77 millones de personas con cuenta en PlayStation Network (el servicio de PlayStation que permite la compra de juegos online), y este servicio dejó de funcionar durante una semana. En ese momento, la empresa japonesa no descartó la posibilidad de que los datos bancarios de los usuarios hubieran sido robados.

 

2013 - Yahoo

La compañía americana reconocía que, en 2013, fue víctima de un gran ataque informático que afectó a más de 1.000 datos personales de sus usuarios. Uno de sus grandes fallos fue, precisamente, haberse callado durante años, algo que provocó que su CEO fuera cesado de sus funciones. La brecha de seguridad costó a Yahoo unos 3.000 millones de dólares ya que se expusieron datos tan sensibles como direcciones de email, claves, cumpleaños, números de teléfonos, nombres y apellidos de las personas registradas en la plataforma.

 

2014 - eBay

En mayo de 2014, eBay emitió un comunicado en el que pedía a sus 145 millones de usuarios que cambiaran su contraseña tras descubrir que su red había sido objeto de un ciberataque. Los piratas informáticos pudieron entrar en el sistema de la empresa mediante el acceso no autorizado a las contraseñas de algunos empleados, y se hicieron con nombres de clientes, contraseñas cifradas, correos electrónicos, direcciones, números de teléfono y fechas de nacimiento. eBay fue muy criticado por el tiempo que tardó en notificar a sus clientes el incidente, que tuvo lugar entre febrero y marzo de 2014.

 

2015 - Ashley Madison

Esta plataforma de citas para gente casada sufrió un fuerte revés en 2015. Un grupo de hackers -'The Impact Team'- expuso en internet los datos personales y financieros de los más de 37 millones de clientes de la compañía. Desde sus nombres y apellidos -algunos de ellos muy conocidos- hasta sus fantasías sexuales más íntimas. Le costó más de 30 millones de dólares.

 

2016- Tesco Bank

Los hackers robaron 2,26 millones de libras (unos 2,65 millones de euros) en 48 horas a la filial bancaria de la cadena de supermercados británica. Tesco Bank informó que había detectado "transacciones sospechosas" en cerca de 40.000 cuentas bancarias, de las que se había retirado dinero de aproximadamente la mitad. El banco recibió una multa de 16,4 millones de libras (19,2 millones de euros) por no proteger debidamente a sus clientes.

 

2017- Uber

La noticia destacó en los medios de comunicación, no solo por el número de víctimas afectadas, 57 millones, sino también porque Uber pagó cien mil dólares a dos hackers para eliminar los datos robados y ocultar el ciberataque, manteniéndolo en secreto. El ataque tuvo lugar en octubre de 2016 un año antes de su publicación, e incluyó la exposición de nombres, correos electrónicos y números de teléfono de 57 millones de clientes en todo el mundo, así como la información personal de 7 millones de conductores de esa empresa de transporte.

 

2018- Cambridge Analytica

¿Quién dijo que los ataques informáticos son solo para "extorsionar" dinero o revelar información confidencial? Cambridge Analytica mostró al mundo cómo el robo de datos puede ser usado en política: en este caso, para influir en las elecciones presidenciales de EE.UU. en 2016. Cambridge Analytica, una empresa de análisis de datos que trabajó con el equipo de Donald Trump, utilizó sin consentimiento la información de 50 millones de perfiles de Facebook para identificar los patrones de comportamiento y gustos de los usuarios y utilizarlos en la difusión de propaganda política.

 

2019- Facebook

Un año después del escándalo de Cambridge Analytica, Facebook se vio involucrado una vez más en un caso de exposición de datos. Cerca de 419 millones de números de teléfono y de identificación de usuario en Facebook fueron almacenados en un servidor online que no estaba protegido por contraseña. Aunque no son tan sensibles como los datos financieros, los números de teléfono pueden ser utilizados por los hackers para spam, phishing o fraudes asociados a la tarjeta SIM. Los Estados Unidos, el Reino Unido y Vietnam fueron los países más afectados.

 

Y si tú también estás vendiendo por internet, tienes tu eCommerce o pensabas comenzarlo a hacer mira cómo detectar rápidamente un ataque a tu eCommerce y además cómo protegerlo:

¿Cómo detectar un ciberataque en mi eCommerce?

Muchas veces estas violaciones al sistema pasan completamente desapercibidas, y solo al tiempo, o cuando el daño está hecho, las compañías logran detectar la brecha de seguridad. Por ello es importante tener en cuenta estos aspectos para identificarlos:

●     Creación, eliminación o edición de datos sensibles para la compañía.

●     Rendimiento inusual del sistema.

●     Tráfico inusual en la web desde una o varias IPs.

 

¿Cómo proteger mi eCommerce de un posible ciberataque?

Asegurarse que el sitio corra bajo el protocolo HTTPS, para que los compradores tengan un mínimo de encriptación en su conexión a la tienda.

  1. Se debe modificar las claves de acceso a los administradores de canales de venta de manera regular.
  2. No revisar las ventas en redes públicas.
  3. Incluir la verificación de dos pasos en el canal de venta.
  4. Utilizar un servicio de pago de buena reputación y mantener actualizado el software de la plataforma de pago online.
  5. Usar una solución de TI y de ciberseguridad para proteger el negocio y a los clientes.

 

La evolución de las soluciones de pago en línea es inevitable, las tendencias de pago digital prometen transacciones más seguras y más rápidas, y las tarjetas bancarias se esfuerzan por mantener el control del mercado de pagos en 2021, pero se enfrentan a una creciente competencia de compañías de tecnología que agregan cada vez más soluciones de pago a sus plataformas.

En este sentido, algunas tendencias de pagos en línea para 2021 son los pagos digitales sin contacto, las tarjetas de crédito biométricas, por cierto, lee aquí nuestro blog de biometría informática y cómo ayuda a la ciberseguridad.

Tanto la variedad como el número de ciberamenazas en nuestro país sigue creciendo, al igual que en el resto del mundo. Al final, es cuestión de hacer un riguroso balance de los recursos con los que cuentas y decidir cuánto riesgo estás dispuesto a asumir. Para algunas personas, su eCommerce es un proyecto menor y, para otras, asegurar la continuidad de su negocio online es una prioridad.