Cómo los minoristas pueden evitar el negro …



A partir del 27 de noviembre, los minoristas en línea de todos los tamaños descubrirán si sus capacidades de comercio electrónico están listas para el horario de máxima audiencia o no.

En noviembre de 2019, Macy&#39s confirmó la presencia de malware Magecart que roba tarjetas de crédito en sus páginas de pago y billetera justo cuando se acercaba el Black Friday y la temporada de compras navideñas. Macy&#39s indicó que el malware permitió que un tercero capturara los datos de los clientes en las páginas si ingresaban la información de su tarjeta de crédito y hacían clic en «realizar pedido».

Esto potencialmente permitió a los ciberdelincuentes acceder a nombres, direcciones, números de teléfono y direcciones de correo electrónico junto con los números de tarjetas de crédito, códigos de seguridad y fechas de vencimiento de los usuarios. Un equipo de ciberseguridad de Macy&#39s eliminó el código el 15 de octubre y anunció el incidente unas semanas después.

Con el Black Friday el 27 de noviembre de este año, los minoristas están compitiendo para obtener una ventaja competitiva en lo que podría ser la mayor ola de compras en línea de la historia. Se espera que las ventas navideñas de comercio electrónico generar entre $ 182 mil millones y $ 196 mil millones esta temporada – un aumento interanual del 25% al ​​35%, según el pronóstico anual de Deloitte. El gasto complete de vacaciones, por otro lado, alcanzará un máximo de 1,15 billones de dólares con un aumento relativamente plano del 1,5%.

La tendencia refleja el auge de las ventas de comercio electrónico que se produjo a lo largo de 2020, y se espera que la pandemia impulse una Mercado de $ 794.5 mil millones en 2020, según eMarketer. Esto representa una tasa de crecimiento interanual del 32,4%, casi el doble del 18% previsto en el pronóstico del segundo trimestre de eMarketer. Las ventas físicas se reducirán un 3,2%, a 4,71 billones de dólares. Dado lo que está en juego en la temporada alta de compras navideñas de aproximadamente un mes, los minoristas están compitiendo para optimizar sus sitios net para dispositivos móviles y socios afiliados externos para maximizar todas las oportunidades posibles.

Sin embargo, como descubrió Macy&#39s, estas oportunidades elevan los riesgos para los compradores y las empresas. A través de ataques de formjacking y Magecart, los ladrones cibernéticos inyectan código JavaScript malicioso en sitios website de comercio electrónico para escanear datos y robar información de los clientes. Formjacking se refiere a secuestrar un formulario website (generalmente la página de pago) y cuentas de 87% de infracciones. Los piratas informáticos de Magecart se dirigen a los carritos de compras asociados con la plataforma de comercio electrónico de código abierto de Magento. En basic, ha habido un promedio de 425 incidentes de Magecart por mes en 2020. En muchos casos, los adversarios despliegan tácticas de ingeniería social, como enviar a los compradores una promoción falsa para un sitio cuando los compradores responden a la oferta falsa, ingresan sus datos personales en una página que en realidad es una estafa.

El hecho de que haya varios proveedores externos que respalden las ventas en línea expone aún más a los minoristas a posibles amenazas. Los ciberdelincuentes suelen atacar a terceros porque son los eslabones débiles de la cadena de suministro. En promedio, los sitios de comercio electrónico utilizan 40 a 60 herramientas de terceros y tiene la intención de agregar de tres a cinco nuevas tecnologías de terceros cada año, amplificando los riesgos.

Entonces, ¿qué deberían hacer las empresas de comercio electrónico para frustrar estos ataques y garantizar que sus clientes tengan unas vacaciones «felices y felices»? Recomendamos tres pasos.

Comprenda su riesgo
Es seguro decir que los malos están planeando el Black Friday tanto como los minoristas. De hecho, es posible que ya hayan comprometido sus objetivos previstos y ahora simplemente están esperando que llegue el gran día de compras.

Después de todo, han demostrado con el tiempo que son muy buenos «escondiéndose» dentro de los sistemas hasta que estén listos para atacar. Casi dos tercios de los profesionales de la seguridad indican que están viendo no menos de 100 días de tiempo de permanencia – el tiempo que se tarda en detectar a los atacantes una vez que infectan una purple. Por lo tanto, es elementary llevar a cabo la debida diligencia interna para inventariar tanto su riesgo interno como el riesgo de terceros: ¿Qué sabe que existe y qué protecciones tiene implementadas como resultado? ¿Confía en sus soluciones? ¿Está haciendo lo suficiente para defender los datos de los clientes antes de que se conviertan en un problema?

Implementar Zero Have faith in
Es esencial aplicar soluciones de confianza cero que restrinjan a terceros únicamente a la información a la que el sitio world-wide-web les ha autorizado a acceder, mientras que bloquean el acceso a la información privada y de pago de los consumidores, también conocido como «privilegio mínimo». Al usar páginas internet virtuales, las soluciones crean una réplica exacta de la página web unique pero excluyen lo que el tercero no está autorizado a ver. Si se permite la entrada de terceros, la página digital la transferirá a la página net original. Al aislar los scripts de terceros del sitio internet original, los cambios no autorizados en JavaScript no causarán ningún daño.

Vea sus páginas web como las ven los clientes
Demasiadas empresas solo ven su sitio website tal como aparece en el lado del servidor, en lugar de verlo desde la perspectiva del navegador del cliente. La página del navegador es lo que los clientes «ven» cuando compran, y estas páginas están sujetas a compromisos. Por lo tanto, debe evaluar lo que está haciendo para proteger sus páginas una vez que abandonan el servidor world-wide-web.

A partir del 27 de noviembre, los minoristas grandes y pequeños descubrirán si sus capacidades de comercio electrónico están listas para el horario de máxima audiencia o no. De hecho, la temporada servirá como prueba de fuego del éxito de su transformación digital.

Esta es la razón por la que las empresas no pueden darse el lujo de considerar la ciberseguridad como una ocurrencia tardía: deben pensar en la defensa de datos como un componente indispensable de sus estrategias comerciales. Al comprometerse con una evaluación integral de riesgos, imponer la confianza cero de terceros y proteger las páginas del lado del navegador, se elevarán por encima de la competencia esta temporada navideña y cosecharán las recompensas de una reputación de marca excellent y la lealtad del cliente durante los muchos meses siguientes.

Matt McGuirk es un experto en JavaScript, tecnologías web y tanto riesgos del lado del cliente como ataques del lado del cliente. Tiene más de 15 años de experiencia en desarrollo de aplicaciones web, administración de sitios web y ciberseguridad. Además, ha brindado consultas y análisis … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first