Son muchos los tipos de ataque que pueden darse alrededor del eCommerce, tanto de lado del consumidor como del servidor en que se basa el comercio; Akamai tiene una propuesta tecnológica para mitigarlos.
El eCommerce es una tendencia con mayor adopción y crecimiento en México, lo que supone una serie de retos en materia de ciberseguridad tanto para los comercios como para los usuarios.
El proveedor de servicios de conectividad, Akamai, que transporta el 30% del tráfico de Internet global, tiene un portafolio de servicios de seguridad para todo tipo de aplicaciones, incluyendo las del comercio electrónico.
Fernando Núñez, ejecutivo de cuenta de comercio electrónico en Akamai, compartió algunos de los resultados que la plataforma de cómputo de la empresa ha obtenido sobre ciberseguridad en las empresas de eCommerce:
- Akamai ha mitigado 43 billones de ataques en la capa de aplicación
- Frenó 1.5 petabytes de tráfico DDOS
- Frenó también 9.6 trillones de solicitudes en la capa de aplicaciones dirigidos a las empresas que son clientes de Akamai
- Mitigó 17 mil 900 millones de intentos de fraude en las páginas de login.
Akamai posee una plataforma de cómputo de gran capacidad que opera en más de 4 mil puntos de presencia a nivel mundial; además, se interconecta con 2 mil 200 operadores del mundo, pues tiene presencia en más de 750 ciudades de 130 países.
¿De qué tamaño son los peligros del eCommerce?
Los datos por sí solos pueden no decir nada, por eso Núñez explicó la anatomía de los ataques que se dan en los sitios de comercio electrónico:
De lado del cliente, hay ataques durante el customer journey que afectan la experiencia e inhiben las ventas; la cadena empieza en el sitio web del comercio electrónico que está expuesto a distintos vectores de ataques.
Núñez explicó que un sitio web tiene diferente páginas web: Home Page, páginas por categorías de producto, la página de cada producto, una más para el carrito de compras, una página de Log In y la página de Checkout.
Además, hay ataques al servidor en donde reside el eCommerce y donde se procesan las transacciones.
El tipo de ataques más común es DDOS o ataques de denegación de servicio, que inhiben la entrega de la pagina web al browser del usuario.
Las aplicaciones web de los comercios electrónicos también son víctimas de ataques SQLI, XSS, LFI que buscan obtener datos y algunos, los más peligrosos robar información (ransomware).
El ejecutivo explicó que, dado que los sitios web de comercio electrónico modernos ya no tienen una arquitectura monolítica, sino basada en microservicios que se conectan vía APIS, estas están sufriendo sus propios ataques.
Los bots son otro problema que está desatando distintos tipos de ataques. Su particularidad es que se ejecutan de manera automatizada; corren desde computadoras, servidores, dispositivos.
- Bot inventory grabbing, es un ataque de bot que busca acaparar inventario, eso pasa mucho con tenis, teléfonos, consolas de videojuegos, boletos de conciertos.
- Gift Card Cracking, se trata de un ataque que busca hacer un abuso a tarjetas de regalo o de lealtad.
- Content Agregation, es una herramienta que recopila contenido web y aplicaciones de diferentes fuentes en línea para su reutilización. Los agregadores de contenido no producen su propio contenido original.
- Ataques de abuso de credencial, prueba credenciales obtenidas de bases de datos previamente vulneradas en páginas de Log In.
“Decenas de millones de usuarios y contraseñas que hayan sido filtradas son probadas por bots, una a una. El bot también hace una lista de las que si pasan para venderlas más caras o acceder y hacer compras a nombre de alguien más -dijo Núñez. Desafortunadamente tenemos poca cultura digital y los usuarios solemos reutilizar usuarios y contraseñas en diferentes sitios web.”
Web Scraping, es un actividad gris que no está prohibida. En ella se escanea los sitios web de comercio electrónico para colectar datos, no se puede decir que sea robo de información, pero que muchas veces se utiliza para medir a los competidores.
En Akamai se observó un incremento en los vectores de ataque de 200% en aplicaciones y APIS en el último año, de hecho, el 50% de los riesgos de seguridad están asociados a APIS, mientras que el 64% de las empresas pierden más del 6% de sus ingresos debido a vectores de ataques asociados a bots.
Es urgente que los CEOs de las empresas de comercio electrónico implementen una cultura resiliente a las amenazas de ciberseguridad y se haga acompañar de un canal especializado que le brinde una oferta adecuada a sus necesidades.
Akamai tiene la cura
La empresa Akamai tiene un portafolio para ayudar a los eCommerce a blindarse contra todo tipo de ataques al servidor.
Tiene una oferta WAP o Web Alication and API Protection, protege todo lo que pasa en aplicaciones. Asimismo, tiene en su oferta un API Security, por las siglas de Aplications Programing Interface Security.
Para el tema de los bots propone un Bot Management, que por medio de Machine LearningRama de la inteligencia artificial que permite que las máquinas aprendan sin ser expresamente programadas para ello. Es usada para hacer sistemas capaces de identificar patrones entre los datos para hacer predicciones como sucede con las respuestas inteligentes de Siri y Alexa. Fuente: BBVA Más identifica patrones de comportamiento en tiempo real y mitiga comportamientos maliciosos.
Tiene a disponibilidad del mercado una solución que protege contra abuso y fraude como el descrito de accesos con credenciales robadas y ataques en las páginas de Log In.
Te interesa leer: Akamai refuerza su oferta e infraestructura para la nube
Finalmente tiene una solución de protección contra el web scraping.
A través de un monitoreo activo y en tiempo real desde y 6 SOCS dispersos alrededor del mundo, Akamai examina las redes y el tráfico de sus clientes a fin de dar una respuesta a incidentes de ciberseguridad.
Los servicios de Akamai están disponibles directamente con la empresa, pero también con canales de distribución e integradores.