El panorama criminal cibernético de 2009 a 2013 sufrió un un incremento del 43% en los ataques a comercio electrónico, según el Reporte Online de Seguridad Global de Trustwave. Los números pasaron del 11% de las investigaciones forenses en 2009, a 54% en 2013.
De acuerdo al relevamiento, hay algunos factores que impulsan este aumento. En primer lugar, en zonas geográficas donde la tecnología chip y pin (EMV) ha sido ampliamente adoptada, los delincuentes que anteriormente habían atacado sistemas de punto de venta, han cambiado su enfoque hacia el comercio electrónico.
Cada tarjeta de crédito/débito con chip y PIN contiene dos códigos de seguridad diferentes, uno en la banda magnética y el otro en el chip. Los sistemas de seguridad actuales hacen que sea casi imposible clonar una tarjeta de pago utilizando el código en el chip, sin embargo, si los delincuentes obtienen acceso a los números de cuenta de lostarjetahabientes y las fechas de vencimiento, pueden utilizar el código de la banda magnética para hacer compras en sitios de comercio electrónico.
Otra razón para el aumento en los ataques de comercio electrónico, es la relativa facilidad con la cual pueden llevarse a cabo. Las ventas e-Commerce se realizan a través de aplicaciones web, muchas de las cuales se encuentran repletas de vulnerabilidades de seguridad. De las miles de aplicaciones que los expertos de Trustwave analizaron en busca de vulnerabilidades en el 2013, se encontró que un 96% de ellas tenía al menos una debilidad grave y un promedio de 13 vulnerabilidades en total por aplicación. Las aplicaciones e-Commerce con sistemas ineficientes de protección se están convirtendo en los blancos ideales para un ataque.
Además de las razones técnicas quefacilitan estos ataques, el robo de datos de tarjetas de crédito se convierte en un modelo de negocio rentable. Los datos de los titulares de tarjetas robados de plataformas de comercio electrónico son valiosos y fáciles de monetizar.
Para prevenir estos ataques, Trustwave recomienda la implementación de controles de seguridad básicos. Si una empresa o persona desarrolla su propio sitio web de comercio electrónico, debe asegurarse de que su equipo técnico considere a la seguridad como una de las máximas prioridades. Hay algunos recursos útiles de código abierto disponibles, sin costo, que ofrecen herramientas de seguridad para los desarrolladores sin tener que construir sus propios controles de seguridad desde cero. Otro paso importante es mantener los sistemas y el software al día con las actualizaciones más recientes. Un 85% de los exploits que se detectaron en 2013 fueron de plug-ins de terceros.
