Casi el 50% de los ciberataques que se producen en España tienen como víctimas a las pequeñas y medianas empresas. La mayoría de las pymes carecen de los protocolos de básicos de seguridad, por lo que se convierten en un blanco perfecto para este tipo de delitos.
Este es el primero de una serie de artículos dedicados a ofrecer información sobre ciberdelincuencia. Mostraremos los ataques más frecuentes y las diferentes formas que tiene tu empresa para defenderse de estos.
Las pymes son objeto del 50% de los ciberataques
Los hackers son una amenaza muy real para las pequeñas y medianas empresas españolas. Como ya publicamos hace unos meses en este mismo blog «cada ataque cuesta a las empresas una media de 74.000 euros, una cifra que puede llevar directamente a la ruina a muchos negocios de nuestro país».
Existen diversas soluciones para evitarlo pero antes de poner en práctica alguna de ellas es preciso saber a qué nos enfrentamos. Hoy iniciamos una serie de artículos en los que explicaremos qué ciberdelitos son los más frecuentes y cómo podemos preparar a nuestra empresa para no sufrirlos.
E-skimming. Qué es y cómo puedes proteger tu tienda
Uno de los principales negocios de la ciberdelincuencia tiene que ver con la venta de información bancaria de tarjetas de crédito y/o débito. Tradicionalmente este tipo de fraude, conocido como skimming, se hacía en los cajeros automáticos. Los delincuentes clonaban las tarjetas utilizando todo tipo de dispositivos e identificaban el código PIN de las mismas.
Ahora este fraude ha dado el salto al mundo digital. Se le conoce como e-skimming. Hace unas semanas el FBI publicó una alerta informando sobre el aumento de este tipo de robos en las pequeñas y medianas empresas que aceptan pagos con tarjetas de crédito online. Los delincuentes roban los datos bancarios y la información personal de los clientes que realizan compras en estos negocios.
Cómo funciona este fraude
Los delincuentes acceden a la tienda online mediante campañas de phishing o bien utilizando un proveedor externo vulnerable conectado con el servidor de la empresa. Una vez dentro, modifican parte del código fuente de la tienda de forma que cuando el cliente introduce su información personal o bancaria esta pasa a manos de los autores del fraude.
Posteriormente, estos datos obtenidos de forma ilícita son vendidos en el mercado negro o utilizados directamente por los ciberdelincuentes.
El e-skimming afecta sobre todo a las tiendas online cuya pasarela de pago está integrada dentro de la misma, ya que la información bancaria se gestiona directamente. Los comercios con una pasarela gestionada por un tercero también son víctimas de este fraude, aunque en estos casos lo que se roba es la información personal del cliente y no sus datos bancarios.
Cómo evitar que tu tienda online se vea afectada por el e-skimming
El Instituto Nacional de Ciberseguridad (INCIBE) ofrece una serie de recomendaciones de seguridad con las que evitar este tipo de fraude.
- Actualizar todo el software de la empresa con la última versión disponible. De esta forma los delincuentes no podrán utilizar las vulnerabilidades conocidas para llevar a cabo del fraude. Desde el instituto recomiendan realizar pruebas en los entornos de preproducción para comprobar que todo funciona correctamente.
- Las credenciales de acceso deben de ser robustas. De lo contrario podrán acceder a la tienda por medio de ataques automatizados usando diversas combinaciones de usuarios y contraseñas. Podremos evitarlo empleando nombres de usuario poco comunes y contraseñas que contengan al menos ocho caracteres, letras mayúsculas y minúsculas, números y caracteres especiales. También es importante cambiar la contraseña cada cierto tiempo.
- Informar a los empleados sobre la importancia que tiene la ciberseguridad. De esta forma es más difícil que alguien ejecute archivos potencialmente maliciosos o crear claves de acceso poco seguras.
- Segmentar los sistemas de red con el fin de que los hackers no puedan acceder a ella a través de una parte. Según el INCIBE si la empresa tiene un servidor propio donde está alojado el e-commerce es preciso que lo ubique en una zona desmilitarizada o DMZ.
Mantén la seguridad de tu web con estos consejos
Para robar la información de las tarjetas de crédito los ladrones utilizan dos técnicas: o bien modifican el código de algún archivo de la tienda, o bien hacer que esta cargue archivos maliciosos procedentes de otras fuentes.
La forma de evitar estos ataques es habilitando dos estándares de seguridad con la ayuda de un profesional:
- CSP o Content Security Policy. A través de este mecanismo solo se pueden cargar archivos de fuentes previamente autorizadas.
- SRI o Content Security Policy: no permite ejecutar archivos modificados sin permiso.
Otra forma de evitar que tu tienda sea víctima del e-skimming es contratar la pasarela de pago a un tercero, por ejemplo, un banco. De esta forma la empresa no tendrá que aplicar ninguna medida de seguridad específica ya que esta es responsabilidad de la entidad contratada.