Ciberseguridad: E-skimming, técnica maliciosa que pone en riesgo la información bancaria de los clientes

Los eCommerce, independientemente de los productos o servicios que ofrezcan, se caracterizan por gestionar una gran cantidad de información confidencial de sus clientes y usuarios. Entre la información más destacada que tramitan se encuentran datos personales como correos electrónicos, números de identificación fiscal, direcciones físicas o números de teléfono, entre otros, y en algunos casos también datos bancarios, como números de cuenta o de tarjetas de crédito. Toda esta información resulta especialmente atractiva para las organizaciones de ciberdelincuentes, ya que su venta en los mercados negros genera un gran beneficio.

Para robar la información los ciberdelincuentes cuentan con varios métodos como campañas de phishing, malware o spam, pero el método que nos aplica en este caso y que puede poner en riesgo la seguridad del ecommerce es el e-skimming o electronic skimming.

El e-skimming consiste en una técnica utilizada por los ciberdelincuentes para robar información personal y bancaria de portales web legítimos. En primera instancia para llevar a cabo este ataque, los ciberdelincuentes deben obtener acceso a la tienda legítima, para ello se pueden utilizar diferentes vías como aprovechar vulnerabilidades no parcheadas, configuraciones de seguridad deficientes, campañas de phishing o malware, por ejemplo. Una vez obtenido el acceso al eCommerce modifican parte del código de la tienda para que, cuando el cliente introduce información personal o bancaria, además de ser gestionada por la tienda, sea enviada a un servidor controlado por los ciberdelincuentes. Con esta mecánica consiguen pasar desapercibidos, ya que las operaciones de compra se siguen produciendo con normalidad, haciendo que tanto el administrador de la tienda como el cliente no sospechen de ningún intento de fraude.

El e-skimming afecta especialmente a los comercios online que cuentan con una pasarela de pago integrada dentro de la propia tienda, ya que en este caso toda la información bancaria de los clientes es gestionada de forma interna por la propia empresa. Pero los eCommerce que utilizan una pasarela de pago de un tercero, como puede ser una entidad bancaria o un intermediador como PayPal, tampoco están libres de riesgo. En este caso los ciberdelincuentes no podrán robar datos bancarios, pero la información personal de los clientes podrá seguir siendo igualmente sustraída.

Factores para proteger las Tiendas Online

Para proteger las tiendas online frente a esta amenaza hay tres factores clave que deben tenerse en cuenta.

  1. El primero de ellos son las actualizaciones de seguridad, es imperativo que todos los componentes que conforman la tienda como el gestor de contenidos, plugins instalados y la plantilla utilizada se encuentren siempre actualizados a la última versión disponible.
  2. Los usuarios con permisos de administrador también son otro factor a considerar, el acceso de estos siempre se debe realizar por medio de contraseñas robustas que incluyan entre sus caracteres minúsculas, mayúsculas, números y símbolos, y siempre bajo la premisa que cuanto más larga sea la contraseña, mejor.
  3. Además siempre que sea posible se debe habilitar un doble factor de autenticación para estos usuarios con permisos de administrador. La concienciación en ciberseguridad de los empleados que gestionan el portal también se debe tener en cuenta: es necesario formarles y ofrecerles las herramientas necesarias para que puedan desempeñar su trabajo con las mayores garantías de seguridad posibles.

Mecanismos y estándares de seguridad

Para mantener la integridad del código que compone el eCommerce y evitar esta amenaza, se pueden habilitar varios mecanismos y estándares de seguridad que mantendrán la integridad de la tienda.

  1. La Política de Seguridad del Contenido o CSP (por sus siglas en inglés Content Security Policy). Mediante esta política se crea una capa de seguridad adicional que ayudará a prevenir y mitigar algunos tipos de ataques como es el caso del e-skimming.
  2. El Subresource Integrity o SRI: mediante esta técnica se verifica que los archivos que componen la tienda no han sido manipulados maliciosamente. Como complemento se pueden contratar los servicios de un proveedor de seguridad externo que realice análisis periódicos para comprobar que el código que compone la tienda no ha sido alterado.
  3. Contratar los servicios de una pasarela de pago en una entidad bancaria o un tercero de confianza, así la información bancaria de los clientes no será gestionada por la propia tienda sino por el tercero contratado. Utilizando esta alternativa la tienda delega todo el tratamiento de la información bancaria de los clientes evitando así que ante un incidente de seguridad en la tienda se puedan ver sus datos bancarios comprometidos. Asimismo, este tipo de organizaciones ofrecen entornos seguros para los clientes ya que constantemente son monitorizados y auditados garantizando así su seguridad.

El e-skimming es un riesgo a considerar, pero siguiendo las recomendaciones de seguridad indicadas se reducirán en gran medida las posibilidades de sufrir un incidente de este tipo. Mantener la seguridad de la tienda y ofrecer un entorno seguro donde los clientes puedan operar es clave si se desea ser una empresa competitiva. Por ello, es recomendable aplicar todas las medias de seguridad razonablemente disponibles para proteger la tienda y, de este modo, salvaguardar a tus clientes.

La copia de seguridad que necesitas para tus dispositivos, tus proyectos y tus datos
Accede a tus archivos desde cualquier dispositivo y lugar de forma segura
pack
10 GB
GRATIS
Consigue tu backup ahora