E-skimming: ¿qué es y cómo proteger tu tienda online?

El auge de las tiendas ecommerce y la proliferación de softwares en la nube representaron un avance significativo en el manejo y circulación de la información empresarial en internet, pero a la vez abrió una puerta peligrosa hacia la delincuencia cibernética, vulnerando la seguridad de los datos de personas y organizaciones. Cuando finalmente los ciberdelincuentes, mediante ingeniosas maniobras de hackers, logran acceder a la información empresarial de manera ilegal la venta de dicha información confidencial se conoce como e-skimming.

<<<Amazon Q: el nuevo chatbot de IA para empresas>>>

Para los ciberatacantes, el e-skimming es una práctica fraudulenta que les reporta muchos beneficios al clonar los pines de las tarjetas de débito y crédito de los usuarios para luego vender esas claves. Sin embargo, esta actividad ilícita no es reciente, sino que tradicionalmente se realizaba de manera física en los cajeros automáticos transfiriendo los datos de las tarjetas. Con la digitalización de las operaciones bancarias, el robo de códigos PIN se reinventó deviniendo bajo el término de e-skimming.

Hoy en día y en pleno apogeo de la transformación digital, el e-skimming se está utilizando principalmente para robar datos bancarios e información personal de los clientes que realizan compras por internet en tiendas online. En este artículo, te contamos más en detalle qué es el e-skimming y cómo prevenirlo manteniendo las claves de acceso de las personas protegidas.

¿Qué es el e-skimming y cómo opera?

El e-skimming o web skimming consiste en una técnica empleada por ciberatacantes para obtener información bancaria y datos personales de negocios ecommerce para venderlos después en el mercado negro, o bien utilizarlos ellos mismos en su propio beneficio. El primer paso en la violación de datos bancarios es acceder a la tienda online a través de vulnerabilidades no parcheadas en el gestor de contenidos o a partir de campañas de phishing.

Luego de obtener el acceso, los ciberatacantes modifican parte del código fuente para interceptar al cliente cuando introduce una contraseña o información personal al banco y de esa forma poder robarla. Una vez terminada la operación ilegal, tanto el cliente como el comercio online no son conscientes del robo, puesto que el pago ha sido efectuado adecuadamente. Sin embargo, a esas alturas ya los ciberdelincuentes se alzaron con la información de la víctima.

Los comercios online más afectados con esta técnica son los que tienen la pasarela de pago integrada dentro de la propia tienda. Esto ocurre porque toda la información es gestionada de forma interna. Ahora bien, las pasarelas de pago de un tercero tampoco están exentas de riesgos, porque aunque los datos de la tarjeta no sean manejados por la tienda, estos datos igualmente son susceptibles de ser sustraídos.

<<<AI Pin: Inteligencia artificial sin pantallas>>>

¿Cómo evitar el e-skimming?

Existen algunas prácticas efectivas que recomiendan los expertos informáticos para evitar o reducir los riesgos de e-skimming en la seguridad de la información. A continuación, describimos las más importantes.

1. Actualizar el software periódicamente.

Las empresas deben preocuparse por actualizar el software a la última versión disponible para reducir significativamente el riesgo de robo de datos. Esta medida también debe aplicarse al gestor de contenidos que se utiliza en el comercio electrónico, el servidor y todo el software instalado. De este modo, los ciberatacantes encontrarán severas barreras de ciberseguridad para violentar el acceso a los datos de los clientes.

A esto hay que agregar que, antes de actualizar cualquier software en las áreas de producción, conviene realizar pruebas en entornos de preproducción, a fin de asegurarse de que el funcionamiento del software es el adecuado.

2. Tener credenciales de acceso robustas.

Las credenciales de acceso en un comercio electrónico es una de las vías más asequibles que tienen los delincuentes cibernéticos para obtener acceso a la tienda online, a través de ataques automatizados en donde se combinan distintas contraseñas y usuarios mediante técnicas de fuerza bruta. Esto se puede evitar utilizando nombres de usuarios poco frecuentes y contraseñas robustas y seguras, que además deberían cambiarse cada cierto tiempo.

Incluso, se puede habilitar un doble factor de autenticación para acceder al panel de administración de la tienda, lo que impedirá que un atacante obtenga las credenciales de acceso evitando así completar el proceso de inicio de sesión, que quedará suspendido en cuanto tenga que realizar una autenticación con datos biométricos.

3. Concienciar sobre los problemas de seguridad.

La concienciación es uno de los elementos más importantes de la ciberseguridad de una organización, puesto que se trata de un conjunto de medidas y acciones que permiten a los usuarios conocer y aplicar una serie de iniciativas para ayudar a garantizar la seguridad empresarial. Permite a las personas acceder a conocimientos específicos en ciberseguridad para minimizar el riesgo de phishing, malware y otras amenazas cibernéticas. 

En otras palabras, la concienciación educa al personal de una empresa para adoptar medidas responsables de ciberseguridad y evitar abrir accidentalmente archivos maliciosos o utilizar credenciales dudosas.

4. Segmentar la red.

Si bien esta práctica no reduce el riesgo de robo de datos vinculado al e-skimming directamente, sí atenúa el riesgo de que otros sectores de la empresa se perjudiquen debido a un incidente de seguridad. Cuando una organización cuenta con un servidor propio donde esté alojada la tienda online, debería situarse en una zona desmilitarizada o DMZ. Esto frenará la acción del ciberatacante aunque haya accedido al servidor o a la misma tienda y se quedará anclado sin poder avanzar al resto de la empresa y a la información que allí se aloja. 

<<<Impacto de la computación cuántica en la ciberseguridad>>>

Ahora que ya sabes qué es el e-skimming, cómo funciona y las prácticas existentes para evitar los riesgos de ciberseguridad en tu tienda online, puedes garantizar que los datos bancarios y personales de tus clientes estén a resguardo y tengan la tranquilidad de operar con sus tarjetas de crédito y débito con mayor confianza, como así también tus colaboradores serán más cautos a la hora de detectar posibles amenazas cibernéticas y podrán neutralizarlas con más facilidad.