Black Friday: cuidado con el carrusel de las compras en línea

Security Awareness
14 noviembre 2022
Black Friday

Los tiempos en los que para comprar algo había que acudir físicamente a la tienda adecuada son ya un recuerdo lejano. Las tardes en el coche para ir a ese lugar donde estaba el producto que buscábamos o las horas callejeando entre los escaparates, hablando con el vendedor que nos recomendaba el producto, el servicio o el viaje adecuado para nosotros. Todo eso quedó atrás. Cada vez se realizan más compras en línea.

Y es que, según las conclusiones de los estudios efectuados por el Observatorio de Comercio Electrónico B2C de la Escuela de Administración del Politécnico de Milán, la pasión de los italianos por las compras en la red sigue creciendo. En 2022 los datos muestran que se ha alcanzado un valor de 48 100 millones de euros, un crecimiento del 20 % respecto a 2021, cuando las compras superaron los 40 000 millones.

Las compras de servicios en línea han registrado el mayor aumento, con un avance del +59 %, alcanzando los 14 900 millones, gracias principalmente a la recuperación del sector turístico en el periodo pospandemia.

Concretamente, la tasa de crecimiento entre 2021 y 2022 para el turismo ha sido del 74 % (rozó los 11 800 millones de euros), pero los sectores del transporte y los eventos también han tenido un buen comportamiento. La tasa de penetración de las compras en línea sobre el consumo total de productos solo aumenta unas pocas décimas porcentuales en 2022, si bien se mantiene firme en el 11 %. Crece el sector de la informática y de la decoración, mientras permanecen estables los sectores editorial, de la belleza y la alimentación y disminuye el de ropa. Gracias a la vigorosa mejoría de los viajes, la tasa de penetración en el caso de los servicios pasa del 12 % en 2021 al actual 14 %.

Black Friday y compras en línea

También hay periodos especialmente favorables para las compras en línea, entre los que sin duda se encuentra el mes de noviembre que, desde hace algunos años y gracias al Black Friday, es el mes por excelencia de las promociones en todas las compras en línea. Una especie de jungla para comprar cualquier cosa en internet a precio rebajado y que empuja a las compras incluso a los más reticentes. El ciberlunes, que este año cae el 28 de noviembre, y que en teoría debe cerrar el periodo de promociones, constituye el punto culminante de este ciclo, aunque centrado en los productos tecnológicos.

Pero como siempre, no todo el monte es orégano y este carrusel de descuentos y promociones tiene, obviamente, su lado oscuro. Digamos que es una cita que los «hackers» esperan con ganas y para la cual no cabe duda de que están preparados.

Qué mejor ocasión para ellos, teniendo en cuenta la cantidad de dinero que circula en línea y de datos sensibles que los usuarios introducen todos los días, como las credenciales de inicio de sesión de las cuentas y las referencias de las tarjetas de crédito.

Es fácil predecir el interés de los delincuentes en registrar miles de dominios que se asemejan a los dominios originales de las empresas, para hacerse pasar por las webs de compras más famosas, como Amazon o E-bay, y robar datos sensibles a las víctimas.

El Black Friday golpea a las empresas de comercio electrónico y a los clientes desprevenidos.

Los tipos de ataques cibernéticos al comercio electrónico son múltiples y difieren tanto en el objetivo afectado, es decir, la empresa o el cliente, como en el objetivo del delincuente.

En el lado de las empresas, el «hacker» que prepara un ataque dirigido a una web de comercio electrónico tendrá como objetivo atacar la infraestructura de TI de la víctima (sitio web o servidor). La web puede, por ejemplo, quedar desfigurada («defacing») mediante un acceso no autorizado. Se trata de uno de los tipos de ataques más impactantes para la imagen de una marca. Otro tipo de ataque es el DDoS, «distributed denial of service» (denegación de servicio distribuido), el cual satura de solicitudes un sitio web e impide su normal funcionamiento, lo que interrumpe el servicio y causa un grave daño tanto económico como de imagen.

Otro ataque dirigido a las empresas es el «cross-site scripting» (XSS o secuencia de comandos en sitios cruzados), que es una inyección de código malicioso para aprovechar las vulnerabilidades de sitios web dinámicos. Por supuesto, como resultado de estos ataques se requiere un rescate para restablecer la situación anterior.

En cuanto a estafas a los clientes, entre las amenazas más extendidas se encuentran el fraude basado en «phishing» y el relleno de credenciales, que han alcanzado una dimensión cada vez más preocupante. El primero se basa en correos electrónicos que se hacen pasar por una marca y convencen al usuario al que se dirigen para que proporcione las credenciales de acceso a un servicio. Al imitar la apariencia y la terminología de la empresa, el ciberdelincuente obtiene información valiosa para acceder tranquilamente a las cuentas y comprar así en nombre de la víctima.

El relleno de credenciales («credential stuffing») , por su parte, se produce cuando los ciberdelincuentes utilizan «software» automático para intentar acceder con datos previamente adquiridos de otro conjunto de datos robados. Si el usuario recicla habitualmente la misma contraseña, corre el riesgo de que su cuenta se vea comprometida.

¡Basta con un solo clic!

Lo que siempre se requiere es hacer clic en un enlace fraudulento o introducir información sensible en un sitio falso. Una vez que se ha caído en la trampa, la cuenta personal del usuario se utiliza con diferentes propósitos. El objetivo es siempre el mismo: robar información sensible y números de tarjetas de crédito o inocular programas malignos.

¿Cómo protegerse? Las precauciones son siempre las mismas:

  • usar contraseñas únicas y complejas para cada cuenta en línea,
  • prestar más atención cuando se usa un dispositivo móvil. Las URL acortadas, que a menudo se usan porque son muy cómodas para dispositivos móviles, pueden ocultar puentes a sitios peligrosos. Si no es posible posponer una transacción, es mejor desactivar el wifi y usar los datos móviles, o bien esperar hasta poder navegar por una conexión segura,
  • evitar comprar en sitios web que parezcan sospechosos o defectuosos, sin importar con qué grandes ofertas de Black Friday nos tienten,
  • no hacer clic en enlaces desconocidos que hayamos recibido por correo electrónico o redes sociales,
  • utilizar una tarjeta de prepago para los pagos en línea. Cuanto mayor sea la disponibilidad, más dinero nos pueden robar los estafadores.
  • Activar y utilizar siempre la autenticación de dos factores.

Resumiendo mucho, la recomendación es siempre la misma: nunca distraerse, nunca dejarse llevar por la euforia de las compras, nunca perder la concentración, nunca hacer clic de forma impulsiva.

Aunque en este mes de noviembre nos sentimos un poco como la protagonista de Alicia en el País de las Maravillas, rodeados de objetos que nos gustan y que se pueden conseguir fácilmente, no olvidemos que hay que prestar atención a cada gesto que hacemos en línea. Porque cada clic puede ser fatal.

Más información sobre los itinerarios formativos de Cyber Guru

Artículos relacionados