Llega la temporada de compras navideñas y los minoristas de todo el mundo se están preparando para la avalancha de pedidos que reciben durante las semanas previas a las fiestas. También es la época del año en que los minoristas deben prestar especial atención a la protección de sus datos, incluidos los datos de sus empleados, clientes y socios, frente a piratas informáticos y estafadores en línea.
Una nueva encuesta del Cyber Readiness Institute revela que tres cuartas partes de los consumidores estadounidenses tienen menos probabilidades de realizar compras en línea a pequeñas empresas que sufren ciberataques. Los compradores en línea también creen que los grandes minoristas son más propensos a proteger su seguridad y privacidad, pero los pequeños minoristas deberían ofrecer las mismas protecciones.
Los minoristas se enfrentan a retos únicos en relación con su tecnología y personas, pero la clave para la preparación cibernética gira en torno a la educación de su plantilla. Estos retos son reales y complejos, pero hay algunas soluciones muy efectivas y fáciles que no lo son. A continuación se exponen algunos consejos básicos para ayudar a que la temporada navideña sea alegre para los minoristas:
Retos de ciberseguridad para minoristas
Al pensar en los numerosos retos a los que se enfrentan los minoristas, es importante priorizar los riesgos en cuanto a ciberseguridad. Los minoristas comercian con un gran número de proveedores, asumen la responsabilidad de las acciones de los empleados y recopilan información confidencial de los consumidores. Como punto de intersección entre proveedores, empleados y consumidores, los minoristas se asocian con muchas partes interesadas y deben considerar las vulnerabilidades y las consecuencias en todos los sentidos.
Desde el lado de la oferta, el minorista es una puerta de entrada a todos los miembros de su cadena de suministro. No importa el tamaño, cada eslabón de la cadena es un posible punto de entrada para los piratas informáticos. Los pequeños minoristas locales pueden ser el objetivo de los actores malignos para obtener acceso a los grandes proveedores. Asimismo, pueden utilizar a los pequeños proveedores para acceder al sistema de una empresa más grande.
Los minoristas deben buscar dentro de sus organizaciones para identificar las amenazas internas. Es muy frecuente que los minoristas contraten personal a tiempo parcial o de temporada con el fin de prepararse para los compradores navideños. Aunque alivian el estrés debido al ajetreo vacacional, este tipo de empleados puede representar un riesgo considerable, según su grado de formación y del acceso que posean dentro de la organización. Los empresarios deben seguir siendo diligentes en la formación de todos los empleados porque todos son miembros de la plantilla cibernética y cualquiera puede ser responsable, consciente o inconscientemente, de un ataque cibernético.
Desde la perspectiva del consumidor, las transacciones en línea generan una cantidad considerable de información personal y, a menudo, de pago. Es importante que los minoristas gestionen el almacenamiento y el acceso a estos datos de forma segura. Los minoristas que ofrecen servicios de entrega pueden ser una presa fácil debido a la transferencia y el intercambio frecuentes de información confidencial. Estos tipos de transacciones sirven como pasarelas adicionales que los piratas informáticos pueden utilizar para intentar entrar. La protección de los datos de los clientes debe ser una prioridad absoluta para cualquier minorista, ya que los piratas informáticos tienden a centrar sus ataques en este tipo de información.
Contraseñas seguras
Los minoristas suelen tener una gran cantidad de proveedores, tanto directos como indirectos. En cualquier cadena de suministro hay eslabones débiles y puntos de entrada para los actores malignos. A medida que los piratas informáticos desarrollan técnicas más avanzadas, el fraude de apropiación de cuentas (ATO, por sus siglas en inglés) se presenta como una amenaza emergente para la industria del comercio electrónico.
Las nuevas técnicas, como el relleno de credenciales, permiten a los piratas informáticos o bots aprovechar los datos robados en masa para forzar su entrada en las cuentas de los clientes con un código que se basa en nombres de usuario y contraseñas que probablemente se reutilizan en varios sitios. Una vez que un punto de entrada se ve comprometido, los piratas informáticos básicamente se apoderan de la identidad en línea del usuario y pueden cometer fraude o robo en su nombre.
Este tipo de amenaza es única en el sentido de que la responsabilidad recae por igual en el consumidor y el minorista. Los consumidores pueden proteger su identidad a través de un protocolo de contraseña seguro: Frases de contraseña de 15 caracteres, autenticación de doble factor y evitar la reutilización de contraseñas en varias cuentas. Una vulneración deja a los consumidores con un sentimiento de vulnerabilidad y de haber sido violados, lo que estropea la experiencia del usuario y la reputación de la empresa. Es responsabilidad del minorista asumir la responsabilidad de tales vulneraciones de seguridad, educar a los consumidores, hacer cumplir los procedimientos recomendados para la configuración de la cuenta de usuario, habilitar las alertas de actividad de la cuenta para detectar los ataques con antelación y compartir experiencias/conocimientos con otros miembros de la industria.
Consejo para unas contraseñas seguras: La mejor contraseña es una frase de contraseña de 15 caracteres. Las frases de contraseña pueden ser más fáciles de recordar para las personas y solo se deben cambiar si se vulneran. Además, las personas pueden guardar la frase de contraseña en el llavero, por lo que no es necesario que la escriban todo el tiempo.
Para obtener más información sobre ATO: https://rhisac.org/blog/how-to-mitigate-account-takeover-in-retail/; https://rhisac.org/wp-content/uploads/2018-Holiday-Guidance_ATO-Quick-Wins.pdf
Actualizaciones de software
Debido al incesante aumento del comercio electrónico y las compras en línea, los minoristas recopilan una gran cantidad de información de identificación personal (PII) y datos de tarjetas de crédito en cada transacción. Esta abundancia de datos atrae a los actores malignos a participar en el skimming, una amenaza seria para los minoristas con consecuencias dañinas.
Los ataques de skimming se pueden introducir de forma encubierta en sistemas minoristas vulnerables y, a menudo, eluden las medidas de seguridad básicas, lo que los hace prácticamente indetectables tanto para compradores como para vendedores. Una vez dentro de un portal de comercio electrónico, el atacante puede obtener acceso y extraer información personal y de pago de las transacciones en línea durante el proceso de compra.
Aunque es importante detectar un posible ataque antes de que cause estragos, evitar que el ataque se adhiera a su sistema en línea desde el principio es aún mejor. Para proteger su negocio, su estrategia de defensa debe ser multifacética y utilizar actualizaciones automáticas que garanticen que los últimos parches de seguridad estén instalados en su sistema.
Consejo sobre actualizaciones de software: La automatización (activar la actualización automática) es una forma excelente de estar al tanto de los nuevos parches y de programar su instalación en el momento oportuno. Reiniciar su ordenador también es otra forma de garantizar que los parches se instalen.
Para obtener más detalles sobre los procedimientos recomendados, consulte a continuación: https://rhisac.org/blog/the-threat-of-online-skimming-to-payment-security/; https://rhisac.org/blog/detecting-and-responding-to-pos-skimmers-and-shimmers/
Detener a los phishing Muchos minoristas tienen una gran proporción de empleados que pueden estar utilizando dispositivos personales para acceder a la información de la empresa, especialmente si la empresa emplea a trabajadores a tiempo parcial. Es importante promover el protocolo BYOD (traiga su propio dispositivo) seguro.
La tendencia BYOD es rentable, no solo en términos de adquisición del dispositivo desde el principio, sino también porque los empleados están más dispuestos a mantener y actualizar los dispositivos personales que los corporativos. Animar a los empleados a utilizar dispositivos personales en el trabajo también reduce la curva de aprendizaje y el tiempo que normalmente se asocia con la formación/orientación para los dispositivos proporcionados por la empresa y, como resultado, puede aumentar la productividad de los trabajadores.
En el mundo actual más allá del perímetro, las organizaciones tienen menos control sobre los dispositivos que utilizan sus empleados, el contenido al que se accede en esos dispositivos y las redes por las que se accede a ese contenido. Para obtener los beneficios asociados al movimiento BYOD, es aún más importante que los empleados estén informados sobre las amenazas de phishing. Con un dispositivo que sirve de puente entre los usos personales y laborales, un phishing puede hacer el doble de daño si se le permite el acceso.
Consejo para detener a los phishing: las organizaciones deben educar a sus empleados para saber en qué fijarse en un correo electrónico y determinar si se trata de un intento de phishing. Si un empleado tiene alguna duda, debe ponerse en contacto con el experto en TI de la empresa. Las empresas deben realizar una formación básica sobre phishing de forma periódica.
Para obtener más información sobre BYOD: https://risnews.com/why-retailers-should-embrace-byod-revolution#close-olyticsmodal
Mantener los USB alejados
Muchos minoristas asisten a ferias comerciales o conferencias para relacionarse con otros profesionales del sector. Las empresas suelen ofrecer productos gratuitos para promocionar su negocio, como pegatinas, botellas de agua o unidades USB. Aunque la mayoría de estos artículos son inofensivos, los USB conllevan riesgos considerables. Pueden estar infectados con malware que, al insertarse en un ordenador, tienen el potencial de causar daños graves. Una unidad USB infectada puede destruir su dispositivo, así como poner en peligro los datos privados de sus clientes.
Como la mayoría de los ciberataques, un ataque por USB es oportunista. Los piratas informáticos infectarán las unidades USB con algún software maligno, como virus, spyware, rootware y más. Todos estos pueden causar un daño irrevocable a su red tan pronto como se instalen.
Los ataques por USB dependen del comportamiento humano para tener éxito. En la mayoría de los casos, los proveedores de USB no saben si el USB está infectado. Muchas personas conectarán un USB desconocido en sus ordenadores.
Consejo para mantener los USB alejados: Adopte un sistema de intercambio de archivos en línea o basado en la nube con acceso protegido para no tener que utilizar un USB.
Puede encontrar más información detallada sobre el lanzamiento de programas de ciberseguridad para pequeñas empresas y registrarse en https://www.cyberreadinessinstitute.org/signup. ¿Tiene alguna pregunta? Envíe un correo electrónico a info@cyberreadinessinstitute.org.
