La llegada de la temporada de rebajas y descuentos masivos, como los del Black Friday y las ofertas de Navidad, trae consigo no solo oportunidades para los consumidores, sino también un incremento significativo en las actividades de ciberdelincuencia, especialmente en la modalidad de phishing. Este fenómeno representa un desafío creciente para las empresas de comercio electrónico y los profesionales del marketing digital, quienes deben estar más alerta en este momento del año para proteger tanto a sus clientes como sus propias operaciones.
Qué es el phising
El phishing es una técnica utilizada por ciberdelincuentes para obtener información confidencial, como datos personales, bancarios o credenciales de acceso. Durante las épocas de ofertas, se observa un aumento notable en estos ataques, con estimaciones que sugieren un incremento de alrededor del 30% en los ciberataques durante estos períodos. Según Dinahosting, este tipo de estafas se ha visto incrementado sustancialmente desde la crisis del Covid-19, lo que ha llevado a un aumento en los intentos de suplantación de identidad a través de correos electrónicos y SMS.
“Los ciberdelincuentes se aprovechan de las campañas en fechas señaladas”
Félix Barbeira, Responsable de Ciberseguridad y Operaciones en Dinahosting, explica que las ventas online han experimentado un crecimiento sostenido en los últimos cinco años, y esto “supone el caldo de cultivo perfecto para la proliferación de estafas”. Además, es muy habitual que el gasto en plataformas de venta online aumente en los hogares en el periodo que abarca desde Black Friday hasta la temporada navideña. “Los ciberdelincuentes lo saben. Por eso, se aprovechan de las campañas en fechas señaladas para crear urgencia en las ofertas y que los clientes compren fijándose menos. ¿A quién no le ha llegado el clásico SMS suplantando a Correos?".
Los ciberdelincuentes aprovechan varios factores que convergen durante estas temporadas de alto consumo. En primer lugar, se observa una mayor actividad online de los consumidores, quienes pasan más tiempo navegando en busca de ofertas y realizando compras en Internet. Este aumento en el tráfico web proporciona a los ciberdelincuentes un mayor número de objetivos potenciales. Por otro lado, la prisa por aprovechar las ofertas limitadas hace que los consumidores presten menos atención a los detalles de seguridad, como la autenticidad de los correos electrónicos o la legitimidad de los sitios web de compras, haciéndose más vulnerables a caer en trampas de phishing.
Esta combinación de factores crea un escenario ideal para que los ciberdelincuentes lancen campañas de phishing más sofisticadas y convincentes, dirigidas tanto a consumidores como a empresas.
Técnicas de phishing en temporada de rebajas
Hay tres técnicas particularmente peligrosas para el comercio electrónico: el spear phishing, el whaling y el e-skimming.
Qué es el Spear phishing
Se caracteriza por ser un ataque altamente personalizado que se dirige a grupos específicos dentro de las organizaciones. Por ejemplo, los ciberdelincuentes podrían apuntar a los administradores de sistemas de empresas de e-commerce, utilizando información detallada sobre la empresa y sus empleados para crear correos electrónicos que parezcan legítimos.
Qué es el Whaling
El whaling, por su parte, es una forma aún más especializada de phishing que apunta a los altos ejecutivos de las compañías, como CEOs o CFOs. En estos casos, los atacantes pueden pasar semanas o incluso meses investigando a su objetivo para crear un ataque convincente. Por ejemplo, podrían suplantar la identidad de un socio comercial importante y solicitar una transferencia urgente de fondos o información confidencial de la empresa.
“Los ciberdelincuentes emplean ingeniería social para crear confianza a través de plataformas legítimas como LinkedIn”, comenta Hervé Lambert, Global Consumer Operations Manager de Panda Security. “Usando el disfraz de una solicitud comercial, logran engañar a sus víctimas, llevándolas a descargar archivos maliciosos. Estos esquemas son cada vez más complejos y difíciles de detectar”. Y es que desde Panda Security han denunciado una oleada reciente de ciberataques a pequeñas y medianas empresas a través de los mensajes de LinkedIn para colar malware a sus víctimas. Los ciberdelincuentes se hacen pasar por directivos de una empresa para solicitar los servicios de una Pyme. Para ello facilitan una dirección de correo electrónico muy similar a una dirección real y comienzan una conversación que acaba en el envío de una documentación que descargar para firmar el contrato de prestación de servicios. ”El ataque está tan bien diseñado, que más del 85% de las empresas que han recibido los emails han caído en el engaño, pasando a la segunda fase del ciberataque", alertan desde la compañía.
Noticias Relacionadas
Mark Read, CEO de WPP, ha sido víctima de un intento de estafa deepfake
{"id":26003,"titular":"Mark Read, CEO de WPP, ha sido víctima de un intento de estafa deepfake","prefijo":null,"slug":null,"image":"https://www.reasonwhy.es/media/cache/noticia_relacionada/media/library/fraude-estafa-wpp-mark-read.jpg","path":"/actualidad/mark-read-ceo-wpp-victima-estafa-deepfake"}Qué es el E-skimming
Una técnica particularmente peligrosa para el comercio electrónico es el e-skimming. En este tipo de ataque, los ciberdelincuentes logran modificar el código fuente de las tiendas online para capturar los datos personales y bancarios de los clientes durante el proceso de pago. Esta amenaza afecta especialmente a las empresas que tienen integrada la pasarela de pagos en sus e-commerce, lo que la convierte en un riesgo significativo para las grandes plataformas de venta online.
Félix Barbeira (Dinahosting), dice que la clave está en evitar que los ciberdelincuentes consigan acceder a la tienda. “Existen medidas básicas que todo e-commerce ha de aplicar, como definir contraseñas seguras, añadir un certificado TLS/SSL, mantener su aplicación web actualizada o disponer de copias de seguridad regulares para evitar sustos”.
No obstante, los ataques de fuerza bruta, que consisten en probar miles de combinaciones de usuarios y contraseñas distintas, “siguen siendo uno de los métodos más habituales para obtener las credenciales de acceso a un e-commerce, por lo que recomiendo activar también un doble factor de autenticación en el acceso al panel de administración de la tienda”.
Un caso notable de e-skimming ocurrió en 2018, cuando la cadena de hoteles Marriott sufrió una brecha de seguridad que afectó a más de 500 millones de clientes. Los atacantes lograron acceder a la base de datos de reservas y permanecieron en el sistema durante cuatro años, recopilando información sensible de los huéspedes, incluyendo datos de tarjetas de crédito.
Suplantación de identidad de marcas reconocidas
La suplantación de identidad de marcas populares es una táctica común durante las temporadas de ofertas. Un caso notorio fue la suplantación de la identidad de Stradivarius mediante una página espejo que copiaba los datos personales de los usuarios. Los atacantes crearon una réplica casi idéntica del sitio web oficial de Stradivarius, incluyendo ofertas tentadoras para el Black Friday. Los usuarios, atraídos por los descuentos, ingresaban sus datos personales y bancarios sin sospechar que estaban en un sitio fraudulento.
Fuente: Maldita.es
Otro ejemplo similar ocurrió con la marca de lujo Gucci. Los ciberdelincuentes crearon sitios web falsos que imitaban la página oficial de Gucci, ofreciendo descuentos en productos de la marca. Estos sitios no solo robaban información personal y financiera, sino que también vendían productos falsificados, dañando así la reputación de la marca.
Los profesionales del marketing en la lucha contra el phishing
El phishing no solo afecta a los consumidores individuales, sino que también tiene un impacto significativo en las empresas de comercio electrónico, que pueden verse involucradas en escenarios como la pérdida de confianza de los consumidores o el daño a la reputación de la marca. Cuando ocurre un incidente de phishing, incluso si la empresa no ha sido directamente responsable del ataque, la pérdida de confianza puede llevar a una disminución en las ventas, así como a pérdidas económicas relacionadas con la investigación del incidente, la implementación de medidas de seguridad adicionales y posibles compensaciones a los clientes afectados.
“La ciberseguridad ha de ser transversal a todas las áreas de una empresa, y por supuesto también a la de marketing”
En este sentido, las medidas de prevención se vuelven fundamentales y es importante tener en cuenta que “la ciberseguridad ha de ser transversal a todas las áreas de una empresa, y por supuesto también a la de marketing”, recalca Félix Barbeira (Dinahosting). Así, los profesionales de esta industria deben trabajar estrechamente con el equipo de tecnología para implementar medidas de seguridad en las campañas de marketing digital. Esto puede incluir la implementación de certificados SSL en los sitios web de la campaña o la verificación de la autenticidad de los correos electrónicos de marketing. Por ejemplo, Dinahosting ha establecido que nunca solicitará información sensible por correo electrónico y proporciona canales oficiales para verificar la autenticidad de las comunicaciones.
“Si hablamos de campañas en redes sociales, el uso de contraseñas seguras y de un segundo factor de autenticación en el login, es una de las medidas más básicas, pero también más eficientes, para evitar el hackeo de cuentas”, explica Félix.
En el caso de las landing pages en las que un usuario tiene que dejar sus datos en un formulario, “es clave contar con un captcha que diferencie a los humanos de los robots”. Y lo relativo al email marketing, “no hay que perder de vista la reputación de la IP desde la que se va a enviar el email, ya que puede estar identificada como fuente de spam. En dinahosting, por ejemplo, hacemos controles a diario para cuidar de nuestras IP”.
Por otro lado, conviene tener presente que un buen hosting web puede marcar la diferencia en el campo de la ciberseguridad en todo lo que tiene que ver con detección de malware, firewall de aplicaciones web…
Las empresas de comercio electrónico se enfrentan a un panorama de amenazas cada vez más sofisticado, especialmente durante las temporadas de alta actividad como el Black Friday y la Navidad. En este contexto, implementar estrategias de prevención robustas no es solo una opción, sino una necesidad crítica para salvaguardar tanto las operaciones comerciales como la confianza de los clientes. Las medidas de seguridad efectivas deben ser multifacéticas, abordando desde la infraestructura tecnológica hasta la formación del personal y la comunicación con los clientes:
- Comunicación transparente: Informar claramente a los clientes sobre las políticas de comunicación de la empresa, especialmente durante las temporadas de ofertas.
- Educación del consumidor: Desarrollar campañas de concientización sobre seguridad online como parte de la estrategia de marketing. Mastercard, por ejemplo, ha lanzado campañas educativas sobre seguridad financiera y prevención de fraudes dirigidas a sus usuarios.
- Monitorización de la reputación online: Vigilar constantemente la presencia online de la marca para detectar posibles suplantaciones de identidad. Herramientas como BrandVerity o MarkMonitor pueden ayudar a las empresas a detectar uso no autorizado de sus marcas en Internet.
- Educación del personal: Formar a los empleados en la identificación y manejo de intentos de phishing. Empresas como Google realizan simulacros de phishing internos para mantener a su personal alerta y preparado.
“Si remamos todos a una hay muchas menos posibilidades de sufrir un ataque de cualquier tipo”, incide Félix Barbeira (Dinahosting). Y hay ciertas políticas de seguridad que tienen que estar siempre, como trabajar mediante una red VPN y mantener los equipos actualizados. Además, “es muy recomendable usar gestores de contraseñas para tener toda la información crítica centralizada y más segura, entrenar al equipo para permanecer alerta ante correos de phishing, prestando atención a los documentos que descargan y a los links a los que acceden. En la mayoría de pymes basta, en muchos casos, con aplicar el sentido común”.
Noticias Relacionadas
Rendimiento y seguridad, claves de las tiendas online ante la campaña comercial
{"id":23644,"titular":"Rendimiento y seguridad, claves de las tiendas online ante la campaña comercial","prefijo":null,"slug":null,"image":"https://www.reasonwhy.es/media/cache/noticia_relacionada/media/library/dinahosting-rendimiento-seguridad.webp","path":"/actualidad/rendimiento-seguridad-tiendas-online-campana-comercial-dinahosting"}La página web, epicentro de la estrategia online y la actividad comercial digital
{"id":23754,"titular":"La página web, epicentro de la estrategia online y la actividad comercial digital","prefijo":null,"slug":null,"image":"https://www.reasonwhy.es/media/cache/noticia_relacionada/media/library/pagina-web-dinahosting.webp","path":"/actualidad/pagina-web-epicentro-presencia-online-actividad-comercial-digital"}El phishing representa una amenaza significativa para el comercio electrónico, especialmente durante las temporadas de rebajas. Los profesionales del marketing tienen la responsabilidad de no solo promover las ventas, sino también de garantizar una experiencia de compra segura para los consumidores. La implementación de estrategias de seguridad robustas y la educación continua de los clientes serán clave para mitigar los riesgos asociados con el phishing y mantener la confianza en el comercio electrónico.
BONUS TRACK: Recomendaciones para los consumidores
Todos en algún momento somos consumidores, por lo que no está de más recordar algunas recomendaciones clave para evitar este tipo de ataques e identificar posibles fraudes protegiendo la información personal y financiera en el contexto del comercio electrónico:
- Verificar la autenticidad de los correos electrónicos y sitios web antes de proporcionar información personal o financiera. Por ejemplo, comprobar que la URL del sitio web comience con "https://" y tenga un icono de candado en la barra de direcciones.
- Evitar hacer clic en enlaces sospechosos o descargar archivos adjuntos de fuentes no confiables. Un caso común son los correos electrónicos que afirman ser de servicios de paquetería como Correos, solicitando que se descargue un archivo adjunto para ver los detalles de un envío.
- Utilizar plataformas legítimas y conocidas para realizar compras online. Sitios web como Amazon tienen medidas de seguridad robustas y políticas de protección al consumidor.
- Desconfiar de ofertas que parezcan demasiado buenas. Por ejemplo, un iPhone de última generación a mitad de precio en un sitio web desconocido probablemente sea una estafa.
- Mantener actualizados los dispositivos y software de seguridad. Esto incluye tener un antivirus actualizado y aplicar las últimas actualizaciones del sistema operativo y navegadores web.