10 consejos para evitar ciberataques en el Black Friday

Los ciberataques en el Black Friday pueden lastrar las ventas de una empresa, provocar pérdidas de datos y dar paso a estafas y fraudes contra consumidores y negocios

Los españoles gastarán cientos de euros durante el Black Friday, una cita cada vez más importante para miles de empresas y millones de consumidores. Para poder vender y comprar sin incidentes es fundamental que negocios y ciudadanos logren evitar ciberataques en el Black Friday que se salden con el robo de datos privados, pérdidas económicas o fraudes financieros.

Los ciberataques contra los e-commerce durante el Black Friday, el Ciber Monday y la campaña navideña se han convertido en una prioridad para los actores maliciosos que, sabiendo que los consumidores realizarán más operaciones online de las habituales y, por tanto, recibirán mensajes relativos a las mismas, tienen mayores probabilidades de confundirles mediante suplantaciones. Además, son conscientes de que se trata de un momento en el que pueden causar más daño a las empresas.

En este sentido, es importante señalar que, actualmente, muchos consumidores son conocedores de las campañas de phishing en estas fechas. Sin embargo, ante la gran cantidad de emails y SMS que se reciben, es probable sufrir algún despiste, aunque se tenga constancia de estas estafas.

Phishing, malvertising, DDoS… Los ciberataques en el Black Friday son muy diversos

¿En qué pueden consistir los ciberataques en el Black Friday? Los delincuentes emplean un amplio abanico de técnicas:

• Campañas de phishing o smishing que emplean el Black Friday para suplantar la identidad de empresas legítimas, con mensajes relativos a errores en envío o pagos, u ofertas de descuentos especiales a los consumidores. El objetivo es lograr robar credenciales relativos a las empresas suplantadas o conseguir que les proporcionen datos de índole principalmente financiera o personal.
• Malvertising, envenenamiento SEO y otras técnicas maliciosas dirigidas contra los consumidores.
• Spear phishing para engañar a profesionales de los e-commerce, infiltrarse en los sistemas empresariales y conseguir información de gran valor sobre sus clientes.
• Ataques de ransomware contra empresas.
• Campañas de denegación de servicio para menoscabar la operatividad de los e-commerce y extorsionar a las compañías.

Esta lista evidencia que el panorama de los ciberataques en el Black Friday y la Navidad es muy complejo y que tanto las empresas como los consumidores están en el punto de mira de los actores maliciosos.

En esta guía sobre ciberataques en el Black Friday vamos a compartir algunas recomendaciones esenciales para las empresas que realizan campañas comerciales durante estas fechas. Además, también listaremos algunos consejos que pueden resultarles útiles a los consumidores para comprar de manera segura durante el Black Friday y la Navidad.

Recomendaciones para ayudar a las empresas a eludir graves incidentes de seguridad en el Black Friday

El mejor consejo que se le puede dar a las empresas que disponen de un e-commerce o de un sistema de reserva online es que deben situar a la ciberseguridad en el centro de sus estrategias y han de implementar servicios de ciberseguridad a lo largo de todo el año y no solo durante el Black Friday.

1. Someterse a auditorías de seguridad continuas

En primer lugar, es fundamental que las empresas realicen auditorías de seguridad continuas para analizar todos sus activos digitales: web, e-commerce, APIs, aplicaciones móviles… ¿Por qué?

De esta manera se pueden buscar vulnerabilidades en la infraestructura tecnológica, priorizar su remediación y evitar que sean explotadas con éxito por actores maliciosos.

Una vulnerabilidad presente en el e-commerce de una empresa puede dar lugar a ciberataques en el Black Friday que generen un impacto económico mayúsculo. Sobre todo, en aquellos negocios en los que gran parte de sus ventas del año se producen entre noviembre y diciembre.

2. Llevar a cabo una gestión de vulnerabilidades continua y responder de manera eficaz ante las vulnerabilidades emergentes

En la misma línea, es crítico que las compañías realicen una gestión de vulnerabilidades permanente y que tenga en cuenta todos los activos digitales de la organización. Solo de esta manera se pueden prevenir ataques contra la cadena de suministro de software. Así como establecer una estrategia eficaz para mitigar las debilidades encontradas teniendo en cuenta el nivel de criticidad de las mismas y la posibilidad de que sean explotadas.

En lo relativo al Black Friday es fundamental solventar las debilidades que afecten a los procesos de compra y a la gestión de los clientes y su información.

Asimismo, también resulta de vital importancia que las empresas dispongan de servicios de detección de vulnerabilidades emergentes para evaluar cómo afectan las nuevas vulnerabilidades a su infraestructura tecnológica y anticiparse a los delincuentes.

Los ciberataques en el Black Friday emplean a su favor que algunas empresas están volcadas en la actividad comercial y no prestan atención al descubrimiento de nuevas vulnerabilidades que podrían estar presentes en sus activos.

Si, además, tenemos en cuenta que la explotación de vulnerabilidades de día cero va en aumento, es aún más importante llevar a cabo una vigilancia continua para acometer la mitigación de nuevas debilidades. Sobre todo, si ya existen pruebas de concepto públicas para explotarlas con éxito.

3. Realizar pruebas de denegación de servicio

Los ataques de denegación de servicio distribuido (DDoS) contra e-commerce son un clásico. Mediante esta técnica, los actores maliciosos recurren a una red de botnets para lanzar peticiones y saturar los recursos de los e-commerce. De tal forma que las tiendas online no puedan atender a las peticiones que realizan los clientes que desean comprar en ellas.

Dada las características de esta técnica, no debe sorprendernos que tenga un especial protagonismo en los ciberataques en el Black Friday, la Navidad y momentos comerciales críticos. Ya que afectan directamente al proceso de venta.

¿Qué se puede hacer frente a los ataques DDoS? Llevar a cabo DoS Test para simular ataques de denegación de servicio en entornos controlados por profesionales de ciberseguridad. Estas simulaciones sirven para obtener información de gran valor sobre la capacidad de un e-commerce de responder con éxito ante esta clase de ataques.

Así, mediante los DoS Test se puede comprobar el tiempo de respuesta o evaluar el comportamiento de los sistemas backend y su capacidad de auto-escalar en caso de que sea necesario.

Es recomendable que todas las empresas con e-commerce realicen test DoS de manera periódica y, en especial, antes de arrancar campañas comerciales de gran envergadura. Ya que la información obtenida permite optimizar las tiendas online y mejorar su resiliencia ante los ciberataques en el Black Friday o la Navidad.

4. Efectuar test de ingeniería social y potenciar la formación y concienciación en ciberseguridad de trabajadores y clientes

Otra prueba de seguridad de gran relevancia que pueden realizar las empresas para prepararse para el Black Friday son los test de ingeniería social. ¿Por qué?

Como apuntamos al inicio de esta guía sobre ciberataques en el Black Friday, el phishing y otras técnicas de ingeniería social no se dirigen solo contra los consumidores, sino que los profesionales de las empresas son un target prioritario. Estos disponen de credenciales para acceder a sistemas corporativos y tienen acceso a información de gran relevancia comercial como el listado de clientes de una empresa, así como información financiera tanto sobre dichos clientes como sobre proveedores.

Además, debemos tener en cuenta que una parte relevante de las plantillas de las empresas están escasamente concienciadas sobre los riesgos de ciberseguridad y no llevan a cabo buenas prácticas en esta materia. De tal manera que se pueden convertir en el eslabón débil de la seguridad de una organización y facilitar un vector de entrada a los delincuentes.

Gracias a los test de ingeniería social, las empresas pueden llevar a cabo simulaciones realistas de campañas de phishing, comprobar cómo reaccionan sus plantillas ante ellas, formar a los trabajadores para que eviten ser engañados por los actores maliciosos y concienciarlos para que realicen buenas prácticas en ciberseguridad en su día a día.

4.1. Programas de formación continua para trabajadores

Además de las simulaciones mencionadas, es fundamental complementar estas con programas de formación continua en ciberseguridad. De tal forma que los empleados y usuarios:

• Conozcan las buenas prácticas en ciberseguridad, como el uso de contraseñas seguras y la verificación de enlaces sospechosos.
• Identifiquen correos y mensajes fraudulentos.
• Sean conscientes de los riesgos sobre compartir información confidencial o personal.

Una plantilla con conocimientos y concienciación en ciberseguridad reduce significativamente los riesgos ciberataques basados en ingeniería social.

4.2. Campañas de concienciación para clientes

Por otra parte, conociendo las fechas en que pueden producirse mayores incidentes de phishing a clientes, las empresas pueden ayudar a los mismos a no convertirse en víctimas.

Para ello, es recomendable realizar una campaña de comunicación en que se recuerde los medios de comunicación empleados por la empresa, así como el tipo de mensajes que pueden esperarse por parte de la misma, ofreciendo así a sus clientes armas adicionales con las que protegerse contra ciberataques.

5. Recurrir a servicios de ciberinteligencia para investigar fraudes de manera proactiva

Algunos ciberataques en el Black Friday o la Navidad no tienen como objetivo directo a las empresas, sin embargo, las dañan indirectamente. Nos referimos a todos los fraudes online en los que se suplanta la identidad de una organización para engañar a sus clientes o consumidores potenciales.

Los ciberdelincuentes pueden llegar a diseñar tiendas online falsas, poner en marcha páginas de login falsas para que los clientes introduzcan sus credenciales de acceso a webs de compañías del retail o hackear cuentas en redes sociales para suplantar la identidad corporativa… ¿Qué pueden hacer las empresas frente a esta actividad fraudulenta?

Los servicios de ciberinteligencia están especializados en la protección de marcas y productos comerciales, la lucha contra la piratería online y la investigación de campañas fraudulentas.

Gracias a ellos, las compañías pueden proteger su imagen de marca y evitar que su reputación se vea dañada por una ola de fraudes que suplantan su identidad.

Tips para comprar de manera segura durante el Black Friday

Más allá de las recomendaciones que deben tener en cuenta las empresas para evitar ciberataques en el Black Friday, también existen algunos tips que pueden ayudar a los ciudadanos a comprar durante estas semanas sin convertirse en víctimas de fraudes online.

6. Revisar las ofertas comerciales para detectar señales de alarma

A gran parte de los consumidores les llegarán, en las próximas semanas, numerosas ofertas comerciales a su email y también se encontrarán con anuncios en motores de búsqueda como Google o redes sociales como Instagram.

¿Cómo se debe actuar ante ellas para evitar ciberataques en el Black Friday? Lo más importante es recurrir a la cautela y el sentido común.

Así, antes de hacer clic en un enlace o en un botón se debe:

• Comprobar el email desde el que se envía el mensaje o la cuenta de redes sociales desde la que se creó el anuncio.
• Analizar el contenido del mismo para detectar alguna incoherencia o comprobar si está redactado de manera correcta o contiene errores ortográficos o un lenguaje extraño.
• Asegurarse de que la apariencia del mensaje es acorde a las comunicaciones comerciales de la empresa que, supuestamente, lo envía.
• Desconfiar de ofertas tan atractivas que están fuera de la lógica del mercado. Las gangas increíbles no existen, ni siquiera durante el Black Friday.

Si se opta por clicar en una comunicación comercial, es importante:

• Leer con detenimiento el enlace para hallar detalles que no concuerden con los enlaces de la empresa.
• Comprobar que la web tiene los certificados de seguridad y usa un protocolo https.
• Estudiar la página web a la que se ha sido redireccionado para tener la máxima seguridad posible de que se trata de una web real y no de una página fake.
• Desconfiar de las peticiones para realizar acciones como descargar un archivo o proporcionar información personal o financiera.

7. Acudir a webs y apps de confianza

Una forma de prevenir los fraudes durante el Black Friday y la Navidad es acudir directamente a webs de confianza y emplear solo aplicaciones móviles fiables. ¿Por qué?

De esta manera se evita acabar en webs falsas o descargar en el móvil aplicaciones maliciosas.

Así, si un consumidor ve un anuncio en una red social del que no se fía al 100%, lo mejor que puede hacer es ir directamente al e-commerce de la empresa para disfrutar de la oferta anunciada.

Otra recomendación básica frente a los ciberataques en el Black Friday es acudir a las páginas de login en e-commerce que se usan habitualmente y no introducir las credenciales de acceso en una página a la que se accedió a través de un email comercial o de un SMS. Lo mismo vale para el uso de aplicaciones móviles. Es importante descargarlas desde la Play Store o la Apple Store y no desde promociones comerciales o sitios no fiables.

En la misma línea, si un e-commerce dispone de un sistema de doble autenticación, es aconsejable implementarlo para evitar que el robo de contraseñas para acceder pueda provocar una estafa financiera o el robo de información personal.

8. Escribir bien las direcciones de los e-commerce para no ser víctimas del typosquatting

Los ciberdelincuentes no solo tienen amplios conocimientos técnicos, sino que necesitan conocer la psique de sus víctimas. Esto les permite adaptar los ciberataques en el Black Friday al comportamiento de los consumidores. Por ejemplo, muchos ciudadanos escriben en su navegador web la dirección de una tienda online a la que desean acceder. Lo que a priori parece una buena práctica, puede acabar desencadenando un fraude si se comete un error a la hora de escribir la dirección. ¿Por qué?

Los actores maliciosos pueden recurrir al typosquatting. Esta técnica consiste en crear webs falsas con apariencia de ser reales y que presenten unas direcciones prácticamente idénticas a las que tienen las webs legítimas, pero cambiando algún carácter. Por ejemplo, en vez de «elcorteingles.es» un consumidor puede acabar en «elcortingles.es».

De tal manera que si un ciudadano comete un pequeño error acabará entrando en una web falsa, pero que no levantará sus sospechas.

Dentro del e-commerce falso, el consumidor introducirá sus credenciales de acceso o sus datos financieros para realizar una compra. Con esta información, los delincuentes podrán llevar a cabo toda clase de fraudes.

9. Desconfiar de mensajes que alertan sobre problemas con un pago o intentan generar sensación de urgencia

Las técnicas de ingeniería social recurren habitualmente a manipular las emociones de sus víctimas. En el caso de los ciberataques en el Black Friday es muy plausible que los actores maliciosos envíen mensajes informando sobre problemas a la hora de realizar un pago o se recurra a generar una sensación de urgencia en las víctimas potenciales.

Por eso, ante cualquier comunicación de un e-commerce que informe sobre un problema con una transacción es importante actuar con cautela, sobre todo si se solicitan datos bancarios o se conmina al consumidor a realizar un nuevo pago.

En el mismo sentido, ante mensajes que hagan hincapié en la urgencia de que un consumidor lleve a cabo una determinada acción, es fundamental desconfiar y no realizar la acción solicitada sin estar 100% seguros de que no se trata de una posible estafa.

Es mejor dejar pasar una oferta que lamentarse después por haber sido víctima de un fraude online.

10. Tener cuidado con las comunicaciones de bancos, multinacionales del retail y compañías de paquetería

Algunos de los ciberataques en el Black Friday están lejos de ser sofisticados. Durante los meses de noviembre y diciembre, algunos ciberdelincuentes ponen en marcha campañas de phishing o smishing masivas en las que se suplantan la identidad de entidades bancarias, grandes compañías del retail y empresas de paquetería.

¿Con qué fin? Informar a un ciudadano sobre alguna incidencia con un pedido o con un pago. En el email o el SMS se incorpora un enlace malicioso que puede provocar la descarga de un malware en el dispositivo o redirigir al cliente a una web falsa para que introduzca sus credenciales.

Estas campañas masivas se benefician de que durante estos días una gran parte de la población realiza alguna compra, por lo que esta clase de comunicaciones son creíbles.

Para evitar caer en estos ciberataques en el Black Friday es fundamental el sentido común y acudir a fuentes de confianza antes de hacer clic en un enlace o descargar un documento.

¿A qué nos referimos con fuentes de confianza? Se puede llamar al teléfono de atención al cliente de los bancos o de las empresas donde se han realizado compras para que verifiquen la información trasladada en el email o el SMS recibido. Es posible acceder al área de clientes de los e-commerce para comprobar el estado del pedido o emplear el número de seguimiento de una compra para constatar su estado en la web de la compañía de paquetería que debe entregar el paquete.

Un consejo común para empresas y ciudadanos: nadie está a salvo de los ciberataques en el Black Friday

A pesar de que todos los días se producen incidentes de seguridad que afectan a un amplio abanico de compañías, muchas empresas creen que no son un objetivo de los ciberdelincuentes.

Esta errónea creencia está más extendida entre empresas cuyo modelo de negocio no está vinculado directamente con el ámbito digital, pero también habita en pequeñas empresas que cuentan con un e-commerce para comercializar sus productos y servicios. De ahí que algunos negocios no cuenten con una estrategia de ciberseguridad adecuada, carezcan de servicios de ciberseguridad adaptados a sus necesidades y no tomen medidas para afrontar la época más importante del año.

De manera análoga, muchos consumidores saben que existe una oleada de fraudes digitales a ciudadanos, pero creen que son inmunes a ella y que no corren un peligro real de ver cómo desaparecen miles de euros de su cuenta bancaria.

Por eso, la mejor manera de prevenir los ciberataques en el Black Friday es tomarse en serio la amenaza que suponen y actuar con precaución a la hora de sacarle partido a esta época de rebajas, ya sea incrementando las ventas o beneficiándose de suculentos descuentos.