Seguridad del comercio electrónico durante los días festivos

Cómo deben prepararse los comercios electrónicos para hacer frente a las amenazas inminentes a la ciberseguridad

No es de extrañar que la temporada navideña traiga consigo mayores oportunidades para los ciberataques, cuyo objetivo principal es el sector del comercio electrónico. Los eventos especiales provocan picos de tráfico en Internet, algunos de los cuales son maliciosos. La capacidad de los responsables de la informática y la seguridad en el comercio electrónico suele verse superada durante este tiempo, especialmente si necesitan gestionar varias soluciones específicas y especializadas.

Basándonos en esta tendencia, la cuestión no es si hay que prepararse para un ataque, sino más bien qué tipos de ataques suponen el mayor riesgo para tu empresa.

La preparación del comercio electrónico para las fiestas de Navidad exige definir una serie de prioridades. Además de establecer una base sólida de protección contra las amenazas comunes a las aplicaciones web, como los ataques DDoS y las vulnerabilidades de día cero, los comercios digitales deben planear y prepararse para los tipos de ataques especializados que pueden afectar a sus negocios e ingresos durante las fiestas navideñas y actuar en consecuencia.

Para poner en marcha el proceso de priorización, puede ayudarte responder a las cuatro preguntas siguientes. Esto permitirá a las organizaciones de comercio electrónico estar mejor posicionadas para lograr buenos resultados en esta temporada navideña, que puede suponer casi un 20 % de sus ventas anuales.

1. ¿Hasta qué punto tus productos son sensibles al precio?

2. ¿Hasta qué punto es susceptible tu empresa a la escasez de inventario?

3. ¿Confías en las API para mejorar tu presencia en línea?

Pregunta 1: ¿Hasta qué punto tus productos son sensibles al precio?

En el caso de algunos productos y servicios, como los de bajo coste, los muy comercializados o los de consumo masivo, las pequeñas diferencias de precio entre empresas competidoras pueden influir considerablemente en las decisiones de compra. Si durante una promoción navideña una empresa se ve ligeramente superada en precio por un competidor, esta podría sufrir una importante caída de las ventas.

Por esta razón, las empresas con productos sensibles a los precios deben ser especialmente cautelosas durante la temporada navideña con respecto a los bots de extracción, que exploran un sitio web en busca de información sobre precios y se la proporcionan a la competencia. Aunque la extracción web no es nueva, gracias a los avances de la IA, los bots se han vuelto mucho más eficientes a la hora de extraer datos de precios, contenido, etc. Con esta información, el competidor puede asegurarse de que sus productos son ligeramente más baratos, una ventaja significativa.

Los bots de extracción de precios pueden ser más difíciles de identificar que otros tipos de bots, ya que no conllevan consecuencias evidentes, como un aumento de las autenticaciones fallidas, compras inusuales o picos de nuevas cuentas de usuario. Las señales que ayudan a identificar los bots de extracción de precios incluyen:

• Picos de tráfico que no coinciden con el comportamiento esperado de los consumidores, ya que los bots de extracción de precios exploran continuamente tu sitio web.

• Rendimiento degradado del sitio, por la misma razón

• Mayor volumen de tráfico de los rastreadores de IA a tus sitios / aplicaciones

• Direcciones IP de origen del tráfico que apuntan a sitios de la competencia

Si identificas bots de extracción de precios en tu sitio, o sospechas que podrías ser su objetivo durante las promociones navideñas, tácticas como la limitación de velocidad podrían ayudar a evitar que afecten al rendimiento del sitio. Sin embargo, es probable que siga siendo necesario invertir en un servicio de gestión de bots más avanzado que combine información sobre amenazas en tiempo real con la capacidad de identificar y filtrar automáticamente los bots maliciosos (incluidos los bots de extracción que utilizan la IA).

Pregunta 2: ¿Hasta qué punto es vulnerable tu empresa a la escasez de inventario?

La escasez de productos puede deberse a tácticas de marketing planificadas, a deficiencias en las cadenas de suministro o a una demanda excesiva. Algunos ejemplos son los dispositivos electrónicos de gama alta, las entradas para conciertos y la moda de edición limitada.

Las empresas que venden estos productos deben tener mucho cuidado con los bots de acumulación de inventario (también conocidos como "Grinch bots") durante la temporada de compras navideñas. Estos bots compran automáticamente productos o servicios más rápido de lo que pueden hacerlo los humanos, normalmente para venderlos con un margen de beneficio en un mercado de segunda mano. Las zapatillas deportivas de edición limitada, por ejemplo, han sido el objetivo de una categoría de bots especializados: los "sneaker bots". El artista más escuchado del mundo intentó luchar contra este tipo de bots. Para ello, multiplicó por 100 el precio de venta de las zapatillas para aquellos compradores que no tenían el código de descuento de su club de fans.

Los efectos de los bots de acumulación de inventario (productos que se agotan en minutos) no son difíciles de detectar. El problema es que, en ese momento, el daño ya está hecho. Para evitar que estos bots logren su objetivo, considera aplicar tácticas tales como:

• Desafíos administrados: el uso de desafíos administrados garantiza que solo los usuarios reales puedan realizar una compra. Sin embargo, el estándar de la industria para los desafíos — CAPTCHA — puede frustrar los clientes, y también puede ser superado por los modelos de IA en todo momento. Ya hay disponibles alternativas a CAPTCHA como los desafíos administrados que confirman que un usuario es real sin los inconvenientes que plantean los CAPTCHA.

• Limitación de velocidad: limita la frecuencia con la que alguien (o algo) puede repetir una acción en un periodo de tiempo determinado. De esta maneras, se puede limitar la frecuencia con la que los bots y los usuarios falsos pueden añadir artículos a su carrito, y luego abandonarlos.

• Configuración de un "honeypot": un honeypot es un objetivo falso para los ciberdelincuentes que, cuando el malhechor accede a él, lo expone como malicioso. En el caso de un bot, un honeypot podría ser una página web del sitio prohibida a los bots por el archivo robots.txt. Los bots buenos leerán el archivo robots.txt y evitarán esa página web. Por el contrario, algunos bots maliciosos interactuarán con la página web. El seguimiento de la dirección IP de los bots que acceden al honeypot permite identificar y bloquear los bots malos.

Por desgracia, algunas de estas tácticas pueden impactar negativamente en la experiencia del usuario y es posible que ni siquiera detengan a los bots maliciosos más avanzados. Para aquellos que corren un mayor riesgo por la acumulación de inventario, invierte en una gestión de bots dedicada mediante el aprendizaje automático y el análisis de comportamiento avanzado.

Pregunta 3: ¿En qué medida confías en las API para mejorar tu presencia en línea?

Aparte de las amenazas persistentes, como las interrupciones de los sitio web y el fraude en los pagos, los comercios electrónicos se enfrentan a un mayor riesgo por la expansión de las superficies de ataque. Por ejemplo, muchas empresas de comercio electrónico dependen en gran medida de las API para gestionar sus sistemas de gestión de contenidos (CMS), inventario de productos, chatbots, sistemas de pago y mucho más. La creciente adopción del comercio headless (que consiste en separar la parte lógica o administrativa de un comercio electrónico para ayudar a fomentar experiencias hiperpersonalizadas aumenta aún más la dependencia de las API.

Cada nueva API es una nueva superficie de ataque potencial. Sin embargo, no se puede proteger lo que no se ve, y aproximadamente un tercio de las organizaciones carece de inventarios de API precisos. Las "API paralelas" exponen los datos de las organizaciones y las hace vulnerables al movimiento lateral y otros riesgos cibernéticos.

Por ejemplo, si una API tiene una vulnerabilidad desconocida, o es susceptible a los diez principales riesgos de seguridad de las API, es posible que los ciberdelincuentes puedan interceptar la información de las tarjetas de crédito. La misma consecuencia podría tener un ataque de autenticación, donde el atacante roba una clave de API relevante, o intercepta y utiliza un token de autenticación.

El primer paso para prevenir estos ataques es identificar las API. Un servicio de detección de puntos finales de las API en el periodo previo a la temporada navideña ayuda a identificar cualquier punto final en riesgo, y luego emplea las siguientes tácticas:

• Validación de esquema: en concreto, bloquear las llamadas de API que no se ajusten al "esquema" de la API, es decir, al patrón de solicitudes que se supone que debe recibir.

• Detección de abusos específicos de las API: este servicio permite comprender el tráfico abusivo y utilizar la limitación de velocidad centrada en la API para bloquear el tráfico excesivo y abusivo de la API, según la información actualizada al minuto del tráfico de cada punto final de API.

La huella digital de los comercios electrónicos sigue creciendo con el auge de la IA generativa, las ventas en directo y otras tecnologías que utilizan las API. A la larga, el cambio a un enfoque DevSecOps puede garantizar que la seguridad esté integrada en cada fase del ciclo de desarrollo de sus aplicaciones y API.

Continuación del proceso de priorización

La respuesta a estas preguntas constituye un paso importante del proceso de priorización de riesgos, pero es solo el principio. Idealmente, una empresa podría analizar los datos de ataques de temporadas navideñas anteriores para prever las futuras amenazas. También pueden tener en cuenta factores como:

• Qué tipos de ataques podrían tener el mayor impacto financiero, ya sea por pérdida de ingresos o por costes de mitigación

• Qué tipos de ataques conllevan el mayor riesgo de pérdida de datos o de datos en riesgo

• Qué ataques tienen más probabilidad de causar tiempo de inactividad del sitio

• Si la seguridad de su aplicación / API puede integrarse con la seguridad que protege a sus usuarios internos (es decir, empleados, contratistas, desarrolladores).

Cómo mejorar el comercio electrónico con una conectividad cloud

Anticiparse a las tendencias y los ataques al comercio electrónico durante todo el año requiere una plataforma de seguridad nativa de nube, de baja latencia, segura y fiable.

Para ayudar a reducir costes, mejorar la agilidad, proteger los datos confidenciales y defenderse de las amenazas en constante evolución, la conectividad cloud de Cloudflare ofrece mejoras de seguridad y rendimiento. Una conectividad cloud es una plataforma unificada e inteligente de servicios programables nativos de nube que ofrece a las organizaciones mayor visibilidad y control sobre sus entornos informáticos.

Cloudflare aúna la seguridad de las aplicaciones web, la seguridad de las API, la seguridad de las herramientas de terceros, los servicios Zero Trust y mucho más en un único panel de control, donde todos los servicios se basan en la información sobre amenazas incomparable.

Cloudflare puede ayudarte a conseguir una seguridad y un rendimiento de primer nivel en toda tu experiencia digital del cliente, al tiempo que recuperas el control y mejoras la agilidad en toda la pila informática.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

• Estrategias de ciberseguridad que los comercios electrónicos deben priorizar durante la temporada navideña

• Consejos de seguridad para proteger tu comercio electrónico de los bots maliciosos que impactan negativamente en las experiencias de los usuarios y amenazan los ingresos

• Estrategias de preparación de cara a la temporada navideña para protegerse contra el abuso de las API

Recursos relacionados

• Estado de la seguridad de las aplicaciones

• Informe "The Forrester Wave™: Bot Management Software"

• El imperativo de las API | Protección del futuro digital

• El papel de la IA en la reinvención de la experiencia del cliente