Caza vez nos resulta más fácil realizar pagos y, desde cualquier parte con un dispositivo que lo permita y esté conectado a internet. La llegada del Bizum y otras plataformas han agilizado e incluso han eclipsado a las formas de pago que hasta ahora más se usaban y, con ello nuevas técnicas de fraude y hacking, pero ¡OJO!, con ello no queremos desacreditar la seguridad de estas.
En este artículo hablaremos sobre estos nuevos métodos de estafa y como evitarlos en la medida de lo posible.
¿En qué consiste esta estafa?
Tradicionalmente la adquisición ilícita de los datos vinculados a medios de pago se ha materializado de forma física, mediante el uso de dispositivos skimmer o shimmer1 situados en los lectores de tarjeta de cajeros automáticos de las entidades bancarias o terminales de punto de ventas (TPVs) con los que los delincuentes “copiaban” los datos asociados a cada medio de pago.
En este caso, la diferencia principal con otro tipo de ataques radica en que ahora el punto de compromiso no es el dispositivo del usuario, como por ejemplo mediante la infección de un smartphone con un troyano bancario, sino el sitio web o la pasarela de pago a la que accede para introducir las credenciales de pago.
Básicamente se basa en la inserción por parte de los ciberdelincuentes de un código malicioso en las propias páginas web a través de las cuales se procesan los pagos de comercio online. De esta manera, cuando la víctima introduce la información de sus credenciales de pago, esta pasa a un servidor controlado por la organización criminal. Tanto el cliente como la tienda online no son conscientes del compromiso de los datos, llegando en muchos casos incluso a confirmarse la transacción de una forma correcta.
Normalmente este modus operandi se desarrolla en tres fases claramentediferenciadas:
La primera de ella se basa en el proceso de infección del sitio web al que la víctima va a acceder.
La segunda parte es la dirigida a la obtención de credenciales de pago y datos personales de la víctima que accede a la página web comprometida.
La última fase se encamina a la explotación de los datos obtenidos ilícitamente.
¿Cómo prevenir el E-Skimming?
Mantén el software actualizado
Todo el software utilizado debe estar actualizado a la última versión disponible. Esta premisa se aplica también al gestor de contenidos utilizado para el comercio electrónico, el servidor que lo aloja y todo el software que tenga instalado, de esta manera, los ciberdelincuentes no podrán valerse de vulnerabilidades conocidas para obtener acceso.
Cuenta con unas credenciales robustas
Es importante que las credenciales de acceso al comercio electrónico sean sólidas, porque una de las formas en que los ciberdelincuentes pueden acceder a una tienda es a través de ataques automatizados que utilizan técnicas de fuerza bruta para probar diferentes combinaciones de usuarios y contraseñas.
El uso de nombres de usuario inusuales y contraseñas seguras puede reducir en gran medida las posibilidades de que los ciberdelincuentes accedan a la red.
En caso de ser posible, se debe habilitar un doble factor de autenticación.
La concienciación es muy importante
La conciencia es siempre uno de los aspectos más importantes de la seguridad de la red de la empresa, porque los usuarios son el vínculo más importante.
Cuando los usuarios conocen la seguridad de la red, es menos probable que tomen medidas que puedan comprometer la seguridad de la organización, como caer debido al phishing, ejecutar archivos potencialmente maliciosos o usar credenciales de acceso inseguras.
Segmentar la red
Aunque esta técnica no reduce directamente el riesgo de sufrir un incidente de seguridad relacionado con el e-skimming, minimiza los riesgos de que otras partes de la red de la organización se vean afectadas por un incidente que afecte a la tienda.
Cuando la red de la empresa cuanta con un servidor propio donde está alojado el e-commerce, siempre se debe ubicar en una zona desmilitarizada o DMZ.
Así, aunque un ciberdelincuente consiga acceso a la tienda o al servidor que la aloja, no podrá acceder fácilmente al resto de la red de la empresa, con el consiguiente riesgo para la seguridad de la información que esto supondría.