Cyber Monday los sitios web de compras en línea a menudo carecen de protecciones de seguridad básicas en lo que respecta a la PII, lo que permite a actores maliciosos sacar provecho de los datos de los consumidores o perpetuar estafas en el comercio minorista y la hostelería.
El evento de compras de comercio electrónico posterior al Día de Acción de Gracias conocido como Cyber Monday atrae a millones de consumidores cada año en busca de gangas en línea, por una suma de 11 mil millones de dólares en 2022.
Sin embargo, en medio de la ola de compras, los consumidores comparten habitualmente información confidencial de identificación personal (PII) en plataformas de comercio electrónico, incluidos detalles y direcciones de tarjetas de crédito, y una encuesta reciente realizada por CyCognito explora la cuestión de si estos sitios priorizan la seguridad y el cumplimiento .
Informe sobre el Cyber Monday
El informe reveló información preocupante sobre el riesgo de PII comprometida, que muchos aún desconocen, y descubrió dificultades sustanciales en el panorama de seguridad de las plataformas de comercio electrónico Cyber Monday.
Aunque más de la mitad (52%) de las aplicaciones web de comercio electrónico existen en la nube, la investigación indicó que no son inmunes a las vulnerabilidades de seguridad.
El estudio reveló un 2% de HTTPS, la versión segura de HTTP y un protocolo para la transmisión segura de datos. Esto supone un riesgo para alrededor de 520.000 de los 26 millones de tiendas de comercio electrónico que se calculan en todo el mundo.
Los investigadores descubrieron que más de una cuarta parte (28%) de estas plataformas funcionan sin un firewall de aplicaciones web (WAF), y a casi una de cada cuatro (24%) aplicaciones web de comercio electrónico que recopilan PII les falta un WAF.
Además, casi seis de cada diez (58%) aplicaciones web de comercio electrónico recopilan información de identificación personal de los usuarios, lo que genera preocupación sobre el manejo de datos. Igualmente preocupante es que el 78% de estas plataformas no solicitan el consentimiento del usuario para las cookies, una señal de alerta de cumplimiento.
La variedad de problemas de seguridad no termina ahí: el 13% de las aplicaciones web de comercio electrónico presentan problemas de validez de certificados y poco menos de la mitad (48%) de las plataformas tienen una o más vulnerabilidades criptográficas.
El informe también encontró que el 2% de las aplicaciones web de comercio electrónico conllevan problemas de seguridad críticos, la mitad de los cuales involucran PII, y más de las tres cuartas partes (76%) de estos problemas críticos son fácilmente explotables.
Para completar los hallazgos de la investigación, se descubrió que el 7% de todas las aplicaciones web de comercio electrónico monitoreadas tenían al menos un problema de la lista OWASP Top Ten, un documento de concientización comúnmente utilizado para desarrolladores y seguridad de aplicaciones web.
Las amenazas aumentan a medida que comienza la temporada de compras navideñas
En el frente de los compradores individuales, vale la pena recordar que el gasto navideño constantemente llama la atención de los actores de amenazas, que explotan los comportamientos de los consumidores y se aprovechan del aumento de los pagos en línea y las actividades digitales durante las fiestas .
Esto también tiene riesgos para las organizaciones: las empresas luchan continuamente contra la recolección de credenciales, el phishing, los bots y diversas variantes de malware, y un informe reciente de Malwarebytes Labs advierte sobre un aumento del 50% en el robo de tarjetas de crédito en 2023, y eso solo empeorará durante la temporada de compras navideñas.
Vandan Pathak, consultor senior de seguridad de aplicaciones de Optiv, dice que los estafadores activarán su red plexus de técnicas para atraer a las víctimas con promociones falsas.
“Se recomienda encarecidamente a las personas que no entretengan ningún mensaje o llamada que reciban que les ofrezca descuentos directos en vacaciones”, dice. “En el pasado, hemos visto personas caer en estas trampas con frecuencia y el número aumentará durante la temporada navideña”.
Señala que las personas deben estar conscientes de los estafadores y las ofertas falsas de tarjetas de regalo; a menudo, estas “ofertas” vienen con el ligero impulso de completar una encuesta.
“Solo que la encuesta es falsa y el único resultado es que tu información personal está ahora en manos de un mal actor”, explica. “Históricamente, estas han sido tácticas bastante exitosas durante los meses de vacaciones”.
Añade que los profesionales de la seguridad, como los ingenieros o analistas de seguridad de redes, deberían estar atentos a los aumentos de actividad inusual en los entornos empresariales.
“Los ataques a organizaciones durante esta época del año suelen tener éxito debido a que los equipos están con la guardia baja”, advierte Pathak.
Te puede interesar leer también: Mexicanos vulnerables a hackeo telefónico