¿Qué es un vector de ataque? 

Los vectores de ataque son las diferentes puntos bajo los cuales su organización puede ser blanco de un ataque informático, identificarlos es el primer paso para elaborar una estrategia preventiva y saber cómo reaccionar ante eventos específicos. 

¿Qué vectores de ataque vulneran un Ecommerce?

Un portal de comercio electrónico puede estar expuesto de diferentes formas, tomemos en consideración los 5 vectores bajo los cuales una organización puede ser víctima de diferentes ataques informáticos. 

1. Navegación (Descarga de archivos maliciosos a través de Internet)
2.  Correo electrónico (Robo de identidad y código malicioso en archivos adjuntos)
3. Endpoint (Infección a través de dispositivos de almacenamiento)
4. Aplicación web (Ataque directo al portal de comercio electrónico o Intranets propias)
5. Red (Ataque a una computadora de la misma red LAN) 

Una plataforma de comercio electrónico podría ser vulnerada de diversas formas, debido al elevado número de consultas e intercambio de información sensible con los usuarios como pueden ser: Usuario, contraseña y datos bancarios. ¿Conoces los riesgos a los que está expuesta una tienda virtual?CLICK TO TWEET

Principales vulnerabilidades en una plataforma de comercio electrónico 

La empresa de software para 3dcart identificó las principales formas de ataque que pueden experimentaron plataformas de este tipo durante 2019.

Código malicioso adjunto en correos 

Un estudio de Fortinet de 2019 reveló que: 1 de cada 3,000 mensajes de correo electrónico contiene malware, incluido ransomware. A su vez es sumamente peligroso que 1 de cada 4.000 correos cuente con malware desconocido, es decir probables amenazas de día cero o virus de encriptación contra los cuales la mayoría de organizaciones no son capaces de protegerse. 

Un portal de comercio electrónico tienen un alto flujo de correos, esto por el intercambio de información entre proveedores, usuarios, personal de logística y administrativo, en base al estudio de Fortinet podemos asegurar que a mayor volumen de correos más posibilidad de recibir un ataque informático que podría comprometer su sitio o las redes de su organización, repercutiendo en serias pérdidas económicas.
 

Robo de identidad (phishing) 

Una práctica que se vale de la credulidad y poca capacitación del usuario para robar su información o guiarlo a descargar código malicioso, los ataques de phishing en 2019 significaron pérdidas de 3.86 millones de dólares según IBM. 

Los comercios electrónicos requieren la coordinación de un gran personal para recibir las solicitudes de pedido de los clientes como las coordinaciones con otras áreas, por lo que podrían verse sumamente expuestas a la suplantación de identidad. 

Para solucionar esta vulnerabilidad es necesario tanto capacitar a su personal en identificar correos falsos y potencialmente peligrosos como incorporar una solución de correo limpio que filtre los mensajes sospechosos de la información verificada. 

Malware 

Actualmente existen malwares y troyanos especializados para diferentes sectores como atacar instituciones bancarias, sin embargo esta amenaza también se puede identificar en el sector de comercio electrónico. 

Un Malware es capaz de infectar desde sus equipos de trabajo hasta sus servidores donde se encuentra alojada la plataforma de comercio, existen diferentes formas de protegerse de malware, dependiendo del vector de ataque implicado, siendo los malwares adjuntos en un documento de correo electrónico evitables gracias a la solución de correo limpio. 

Mientras que una solución avanzada sería Sandboxing, una tecnología capaz de aislar y eliminar los códigos maliciosos, evitando su propagación como el potencial robo y destrucción de la información.  

DDoS

También conocidos como ataques de denegación de servicios, funcionan controlando una gran cantidad de bots que hacen solicitudes al servidor, el fin de un ataque DDoS es volver inoperativa el sitio web, lo cual desencadena en numerosos problemas para la organización. 

Un ataque DDoS puede perjudicar a una plataforma de las siguientes maneras: 

• Haciéndola perder liquidez por cada hora de inoperatividad
• Generando pérdida de confianza en sus compradores
• Generando problemas con la recepción de cobros que se realizaban antes o durante el ataque. 
• Reducción del número de visitas en el sitio web 
• Aumento de costes en tecnología para solucionar los problemas ocasionados por el mismo. 

Los DDoS solo pueden ser prevenidos a través de una tecnología capaz de desviar el gran volumen de solicitudes al servidor, para ello ON cuenta con el respaldo de Arbor Networks para desviar este tipo de ataques con capacidades superiores a 20gbps y realizar mejoras escalables para nunca dejar su plataforma expuesta. 
 

Inyección SQL

Es de las vulnerabilidades más peligrosas, consiste en agregar código malicioso para manipular la base de datos de su sitio, las vulnerabilidades que permiten inyectar instrucciones a una plataforma pueden existir por diferentes motivos. 

En el caso de las aplicaciones más grandes es debido a errores en la seguridad de parte de los desarrolladores web, mientras que en el caso de los Ecommerce que emplean CMS como Magento se debe a errores de seguridad de parte del proveedor. 

Las repercusiones de un ataque de este tipo son: 

• Económicas debido a que pueden afectar el registro de compras y brindar información equivocada sobre un determinado producto. 
• Aumento de costes debido a que se debe invertir tiempo para corregir el error de la base de datos y eliminar la vulnerabilidad 
• Pérdida de confianza por parte de los compradores implicados. 

La forma más efectiva de protegerse de una inyección de base de datos es mediante nuestro Web Application Firewall (WAF) Una tecnología capaz de evitar la introducción de códigos y comandos a una aplicación web. 

Al ser una tienda virtual una web con gran cantidad de páginas, varias de ellas que solicitan información al usuario, emplear una solución WAF es más eficiente que realizar un rastreo manual mediante herramientas como SQLMAP. 

Bloqueo de carrito de compras 

El carrito de compras cumple una gran utilidad para todo Ecommerce, no sólo es el espacio de guardado del usuario antes de finalizar una compra, también es una herramienta de medición para comprender el comportamiento del flujo de compra. 

Por estos motivos dañar o bloquear la función de carrito de compras genera repercusiones económicas y de recopilación de datos para su empresa. En años anteriores se han identificado código malicioso con esta función. 

Si deseas un ejemplo técnico de esto, puedes verlo en exploit-db, un portal donde se comparten diferentes exploits o fallas de seguridad identificados por diversas organizaciones. En el caso del bloqueo a los carritos de compra, Vulnerability Labs identificó en 2014 un fallo de seguridad llamado: Squirrelcart Cart Shop 3.3.4 el cual afecta las aplicaciones web desarrolladas en PHP. 

Defenderse de esta vulnerabilidad dependerá del vector de ataque relacionado, puede provenir de una inyección de base de datos, como un malware introducido a través de la red, por situación complejas como estas Optical Networks se ha esforzado en ser la única Telco con un portafolio de soluciones enfocado en los 5 vectores de ataque. 

Fraude online 

Es posible que un delincuente use una tarjeta clonada, robada o falsificada para realizar compras por Internet, además de contar con una plataforma de pagos segura, incorporar una lista de direcciones blancas y negras, esta función es parte de nuestra solución WAF para evitar el fraude en su negocio. 

Conclusiones

Los Ecommerce antes de 2020 eran una herramienta dirigida al público más joven y con facilidades tecnológicas, actualmente es un elemento indispensable para permitir la continuidad del comercio. 

Con el incremento de su uso la seguridad de los mismos ya no es opcional, contar con la protección adecuada frente a amenazas informáticas permite garantizar la continuidad y prestigio de su empresas frente a un mundo donde el número de ciberataques aumentan cada año. Visita nuestros artículos para conocer más sobre ataques informáticos.