Cinco ciberamenazas a las que se enfrenta el retail en 2023

Las ciberamenazas siempre son cambiantes, pues en el mundo de la tecnología todo está en constante evolución. Se trata de una suerte de peculiar batalla armamentística donde las empresas y comercios ponen barreras, los atacantes crean «armas» más peligrosas y así continuamente; una lucha entre medidas y contramedidas.

 

Solicita asesoramiento experto en retail

 

En el sector minorista en concreto se enfrentará el próximo año a algunas amenazas ya conocidas mientras ya se dejan entrever algunas más evolucionadas. Éstas serán algunas de ellas:

LAS CINCO CIBERAMENAZAS MÁS HABITUALES

1. Ataques de malware y ransomware:

Uno de los principales problemas seguirá siendo todo tipo de software malicioso que los atacantes intentarán «colar» en los servidores y equipos de las empresas con finalidades como:

  • Robo de datos personales (clientes) / industriales (espionaje).
  • Destrucción de datos o secuestro de equipos.
  • Robo de identidades para articular estafas y causar daños mayores.

En el retail en particular los robos de datos para diversos fines pueden afectar desde a las bases de datos de los clientes y su información personal, especialmente tarjetas de crédito o cuentas bancarias a inventarios de productos, históricos de ventas y otra información delicada.

2. Estafas mediante phishing, whaling y técnicas más avanzadas:

Aunque la gente va concienciándose poco a poco de que las estafas mediante la ingeniería social, email y mensajes a través de móviles son cada vez más comunes, sigue siendo una de las formas más efectivas que tienen los atacantes para introducirse en empresas de todos los tamaños. En el caso del retail, que además normalmente pone a disposición del público diversas formas de contacto para los canales de venta, consulta y ayuda, hay todavía más vías de entrada.

La forma de evitar estos ataques es doble: por un lado una buena barrera tecnológica que detecte y frene ese tipo de ataques antes de que lleguen a los destinatarios y por otro una correcta formación de todos los empleados de los negocios, desde el primero al último. Esto incluye divulgación sobre los peligros de la «ingeniería social», recalcar la importancia de no abrir correos o mensajes sospechosos, no ceder el control remoto del ordenador a nadie y verificar según buenos protocolos internos todas las órdenes que puedan suponer una transferencia de datos, información confidencial o incluso de dinero.

En este sentido, hay que recalcar que una de las estafas que sigue siendo habitual es la llamada estafa del CEO. En esta modalidad, tras una investigación minuciosa desde el exterior los ciberatacantes cuentan con información sobre las actividades de la empresa: si va a realizar una adquisición, un gran contrato, una compra o similar y están al tanto de los movimientos del CEO u otros altos cargos, como el Director Financiero o de Operaciones, conociendo bien la estructura de la empresa (por ejemplo a través del «quiénes somos» de su página web o de las relaciones en LinkedIn). Tras usurpar la identidad normalmente del CEO, utilizan cualquier excusa (viaje, visita a notarios, urgencia por firmar…) para solicitar a sus subordinados una transferencia de fondos urgente para agilizar esas compras o cerrar esos contratos… algo que podría entrar dentro de lo habitual por las circunstancias: la operación es complicada, se desarrolla en el extranjero, fuera de los horarios habituales, etcétera. Si los empleados no confirman todo correctamente –y a veces bastaría una llamada de teléfono de viva voz– el desastre puede consumarse, dejando tan solo un rastro de mensajes falsos y empleados engañados. Una variante más avanzada que veremos en 2023 son las ciberestafas de este tipo mediante la usurpación de la voz o imagen del cebo, usando deep fakes que imitan la voz o las imágenes en una llamada o videoconferencia. Ya se han dado varios casos recientemente.

 
 

3. Seguridad de dispositivos IoT:

Con cada vez más dispositivos de la IoT (internet de las cosas) instalados en los comercios, las auditorías de seguridad están revelando hoy en día que muchas instalaciones deben mejorar su seguridad.

Parte del problema suele ser que todos esos dispositivos, desde cámaras de vigilancia a sensores de temperatura, presencia, etcétera se suelen conectar a la misma red, que a veces es la principal (y única). Muchos modelos, en especial los baratos y de marcas poco conocidas, son vulnerables físicamente; a veces a través de puertos USB o Ethernet que no tienen otro uso, a veces a través de un wifi inseguro. Una vez que un atacante puede entrar en estos dispositivos, el resto de la red está a su alcance y es más fácil lanzar un ataque. Por eso en algunas auditorías se revisa todos los dispositivos instalados y se desaconsejan ciertos dispositivos demasiado «conectados» si no tienen una utilidad real y cumplen con todas las medidas de seguridad.

Otro problema es el de las actualizaciones: todos esos dispositivos deben mantenerse siempre al día para garantizar que se han aplicado los últimos parches de seguridad para evitar cualquier posible «agujero». Idealmente estas actualizaciones serán automáticas, pero si no lo son hay que contar con alguien adecuadamente formado que pueda llevar a cabo dicha tarea.

 

Solicita una propuesta tecnológica personalizada

 

4. Ataques a los medios de pago:

Aunque España está en una posición privilegiada respecto a otros países al contar con algunos de los métodos de pago más avanzados y seguros –especialmente en «pagos sin contacto»– no hay que olvidar que la manipulación y robo de datos a través de los medios de pago siguen estando entre los favoritos de los ciberdelincuentes, pues ofrecen un botín casi «directo». Algunos de los más conocidos y que seguiremos viendo en 2023 son:

  • Skimming de tarjetas. Clonadores de tarjetas de crédito instalados en cajeros automáticos, gasolineras e incluso tiendas.
  • Carding. Uso de tarjetas robadas. La venta se realiza pero luego los cargos son devueltos.
  • Robo de datos a los terminales de los Puntos de venta. Objetivo: robar los datos de pago.
  • Ataques de intermediarios. Interceptar las comunicaciones de un proceso de pago haciéndose pasar por la tienda para robar los datos de tarjetas.
  • Ingeniería Social. Engaños en persona o por teléfono para robar datos de pago de otras personas u obtener dinero.

Algunos de los avisos más han circulado en España y que seguirán activos un tiempo son sobre todo los de ingeniería social. La mayoría se refieren a phishings en los que se invita a pagar una pequeña cantidad para recibir un paquete de una tienda (a veces suplantando a empresas de mensajería o a Correos), pero también son comunes los engaños a través de Bizum, donde se utiliza la ingeniería social para simular un pago o error con objeto de que la víctima realice una transferencia. En ocasiones se utilizan estas mismas técnicas contra los comercios, con excusas como dificultades para usar otros medios de pago. También son habituales los ataques de ingeniería social para hacerse con los datos de pago de otras personas, haciéndose pasar por familiares, ancianos, o alguien que ha realizado compras por error. Más vale estar informados y ojo avizor.

 
 

5. Cuando el problema está dentro:

A veces las ciberamenazas del exterior cuentan con ayuda desde dentro de los comercios y empresas, quizá por desconocimiento, quizá por malas intenciones. Los empleados pueden equivocarse porque errar es humano, ser descuidados con las contraseñas o no tener conocimientos suficientes para proteger sus dispositivos (el clásico «post-it bajo el teclado» o en el monitor nunca desaparecerá). Pero a veces también pueden ser sobornados desde el exterior, pueden estar confrontados con la empresa o querer dañarla aprovechándose de una situación privilegiada. A este respecto hay que considerar:

  • Los errores humanos y la falta de formación pueden corregirse con mejor formación y capacitación. Esto incluye las explicaciones sobre las normas a cumplir y el manejo seguro de dispositivos tanto de la empresa como personales.
  • Accesos limitados, redes seguras. Idealmente cada empleado debe tener acceso sólo a los datos con los que deba trabajar, y nada más. Las redes y todo el software instalado debe estar correctamente asegurado para que incluso sabotearlo desde dentro no sea fácil.
  • Supervisión de los empleados. Para evitar que los empleados sean parte de los problema de seguridad informática, además de la constante formación es necesaria una supervisión de cualquier incidente o actitud sospechosa que pudiera conllevar robo de datos, introducción de malware o sabotaje de las infraestructuras. En el reciente V Congreso Antifraude se recomendó incluso la participación de los departamentos de Recursos Humanos para detectar perfiles problemáticos antes de contratar a alguien o en las evaluaciones periódicas de los empleados. Aunque es un problema triste, muchas empresas sólo se dan cuenta de que «el problema estaba dentro» cuando es demasiado tarde.

Todas estas ciberamenazas serán una constante a lo largo de 2023, pero con un poco de prevención y la asesoría adecuada cualquier comercio de pequeño o mediano tamaño se puede evitar que sean un problema. Tener claro que prevenir y planificar qué hacer en caso de encontrarse ante estas situaciones proporciona una gran tranquilidad para dedicarse a otras actividades más propias del negocio en sí que de los detalles más técnicos de las ciberamenazas que circulan por la red, que pueden dejarse en manos de los profesionales.

 

Solicita asesoramiento a medida en retail

 

_____
Foto (CC) Christiann Koepke @Unsplash.

Sobre este Autor

Álvaro Ibáñez. Editor de Microsiervos, uno de los más conocidos blogs de divulgación sobre ciencia, tecnología e Internet en castellano. Participó en el nacimiento de proyectos españoles de internet como Ya.com/Jazztel y Terra/Telefónica.

Enviar una respuesta

Aviso de Privacidad.
Los datos facilitados en este formulario, quedarán registrados en un fichero titularidad de SARENET S.A.U., responsable del Fichero cuyos datos se detallan en el Aviso Legal, con la finalidad que los usuarios interesados contacten con los asesores y estos den respuesta a sus dudas e inquietudes en relación a los servicios ofrecidos. Podrás ejercer tus derechos de acceso, rectificación, supresión o limitación de la información personal, así como el de oposición a su tratamiento, mediante comunicación al e-mail: protecciondedatos@sarenet.es. Para más información sobre como tratamos tus datos, visita nuestra Política de privacidad.

No hay comentarios