La campaña del Black Friday de este año tendrá lugar el 29 de noviembre, pero las firmas textiles como Inditex, H&M, Mango y Springfield, entre otras, ya se están preparando para evitar que los clientes que compren de forma online puedan ser víctimas de ciberdelincuentes. Una actividad que sucede en eventos promocionales de este tamaño.
MERCA2 ha hablado con Iván Bermejo, Team Lead Defensive Security de Innovery by Neverhack, sobre como están de preparadas las empresas del tamaño de Inditex, H&M, GAP, y Tendam, entre otras; y sobre recomendaciones para que los clientes no caigan en esta trampa. «Ahora los ciberdelincuentes no solo buscan robar datos de una tarjeta de crédito de manera temporal, lo que les interesa es tomar el control sobre la cuenta digital del usuario», señala Iván.
En este contexto, con el auge del comercio electrónico son cada vez más los consumidores que están expuestos a los ciberdelincuentes. Sin ir más lejos, los expertos recomiendan a las empresas de gran tamaño como Inditex en proteger su e-commerce y a sus clientes, implementando medidas de seguridad robustas y fortaleciendo así la confianza del consumidor.
EL BLACK FRIDAY:: LA OPORTUNIDAD PERFECTA DE LOS CIBERDELINCUENTES
«El Black Friday es, para los ciberdelincuentes, el día de la lotería de Navidad. En estos días circulan miles de datos de millones de consumidores en la web, y esto es de gran utilidad para ellos. A esto hay que sumar que esta campaña ya no es exclusiva del sector retail y otras industrias se están sumando, ofreciendo a los consumidores grandes ofertas como, por ejemplo, la propia banca», señala Bermejo.
En este sentido, la presencia digital cada vez genera un mayor y elevado porcentaje de ciberataques en esta época de consumo prenavideño, donde los clientes suelen realizar una serie de compras, y muchas vía Internet. Como bien ha explicado Iván, las estadísticas son sorprendentes, en 2023 los ciberataques aumentaron durante esta campaña en un 85% y para este año se espera que la cifra sea mucho mayor.
EL BLACK FRIDAY, ES EL EVENTO DONDE LOS CIBERDELINCUENTES DISPONEN DE UNA GRAN CANTIDAD DE DATOS
Sin ir más lejos, los principales problemas a los que se enfrentan las tiendas online de firmas como Inditex, GAP o Tendam, entre otras, es el volumen de datos que se maneja, es impresionante, hasta el punto de que es difícil diferenciar lo que es el dato real del que está utilizando un ciberdelincuente a través de un ataque de suplantación de identidad o de ‘fuerza bruta’.
«Hemos visto casos de tiendas que aumentaron su tráfico por cien, y en esa vorágine de solicitudes de login, son incapaces de detectar la presencia de usuarios maliciosos empleados a esa técnica. A raíz de un ciberataque, los comercios online sufren pérdidas en ventas, pues los cibercriminales también se encargan de desviar las transacciones hacia sus tiendas falsas, pero también pueden ver paralizados sus servicios, lo que no castiga su cuenta de resultados, e influye negativamente en la imagen y reputación de la compañía», explica Iván Bermejo.
No obstante, esto es posible gracias a la modificación de unos registros, que hacen que la web comience a apuntar y a mostrar una web fraudulenta. Especial atención también a los ataques DDoS (denegación del servicio), cuyo objetivo es saturar la infraestructura de la propia web e inhabilitarla. Por su parte, los usuarios pueden ver vulnerados sus datos, información que se vende en la dark web: nombre, teléfono, mail, junto con el nombre de la tienda online en la que disponen de una cuenta.
Además, ahora los ciberdelincuentes no solo buscan robar datos de una tarjeta de crédito de manera temporal, lo que les interesa es tomar el control sobre la cuenta digital del usuario. «De esta forma, encuentran mucha más información, como direcciones, tarjetas o el propio correo electrónico, además de poder conocer los gustos y preferencias de los usuarios. Con esta información crean el cóctel perfecto para armar campañas de phishing más sofisticadas», añade Bermejo a MERCA2.
LA PREPARACIÓN DE INDITEX, GAP Y TENDAM FRENTE A LOS CIBERDELINCUENTES DEL BLACK FRIDAY
En este sentido, si nos preguntamos qué firmas de moda están preparadas para evitar estos ataques a los datos de sus compradores, no cabe duda de que las tiendas que mejor preparadas están de cara a esta campaña son las grandes compañías, que cuentan con buenos estándares y certificaciones de seguridad, y que venden a través de plataformas fiables. Con esto, nos vienen a la mente Inditex, GAP y Tendam, entre otras.
«Ese tipo de tiendas, también disponen de infraestructuras reforzadas para hacer frente al elevado número de peticiones que reciben durante estos días, y se preocupan de protegerla para evitar ciberataques. En el caso de una empresa pequeña, recomendaría el uso de una herramienta de seguridad que monitorice lo que cada usuario pide en la web, determinando si algo es malicioso o no», explica en detalle Bermejo.
Siguiendo en esta línea, para que una tienda online se considere segura a la hora de comprar, se deben tener en cuenta varios factores que deben cumplir en términos de seguridad y confianza. Uno de esos factores es la conexión segura, indicado con el protocolo ‘https’, que el usuario puede consultar en la url de la web. Además, el comercio debe disponer de métodos de pago seguros y diversos como tarjeta de crédito, PayPal o Apple Pay, entre otros.
HAY QUE GARANTIZAR QUE LAS TIENDAS CUMPLEN CON LOS ESTÁNDARES DE SEGURIDAD EN EL MANEJO DE DATOS DE TARJETA DE CRÉDITO O DÉBITO
«Es importante también que la tienda cuente con políticas de privacidad y devolución claras que expliquen qué hacen con los datos recopilados del usuario y qué debe hacer este en caso de realizar una devolución», añade Iván. No obstante, el cliente también debe tener en cuenta una serie de factores para no caer en estas estafas.
La ceguera de los consumidores ante ofertas atractivas hace que no presten atención a la procedencia de las páginas web, que en muchos casos son fraudulentas. Por ello, desde Innovery by Neverhack recomiendan verificar siempre que los sitios no son fraudulentos, es decir, si la página cuenta con los certificados correspondientes de seguridad y prestar atención al símbolo del candado y al prefijo ‘https’.
