Algunos pequeños operadores de sitios web de comercio electrónico pueden pensar que su relativa oscuridad proporciona protección, pero la realidad es que las PYMES son particularmente vulnerables a los ciberataques y al malware.
«Muchas veces, las pequeñas empresas no se sienten vulnerables a las amenazas cibernéticas porque creen que los ciberdelincuentes prefieren atacar a las empresas más grandes». corero.
«Por el contrario, los ciberdelincuentes han tenido mayor éxito atacando a las pequeñas empresas», dijo a E-Commerce Times.
Los ataques más obvios implican el uso de malware obvio, como ransomware, o redireccionamientos a sitios web potencialmente competidores, señaló el director ejecutivo Chris Olson.confianza en los medios.
Otros ataques «podrían insertar lenguaje vergonzoso en las páginas de inicio o ejecutar de forma encubierta programas no deseados como mineros de criptomonedas, barras de herramientas y encuestas falsas», dijo a E-Commerce Times.
Hay tres amenazas principales que las pymes minoristas electrónicas pueden abordar eficazmente.
Tabla de Contenidos
1. Código fuente abierto sin censura
Olson sugirió que las PYMES que utilizan software de código abierto para reducir costos pueden aumentar su vulnerabilidad a los ciberataques.
«La comunidad de desarrolladores no es responsable si las funciones o complementos se ven comprometidos», dijo.
«Miles de minoristas utilizan plataformas y herramientas de código abierto para ejecutar con éxito operaciones comerciales basadas en la web», señaló Olson.
«Estas herramientas de código abierto a menudo se ven comprometidas por extensiones rotas o la creación de versiones defectuosas. A medida que crecen el tráfico y los ingresos, también aumenta su atractivo para los delincuentes».
Olson recomienda que los minoristas electrónicos eviten el uso de código fuente abierto que no haya sido examinado minuciosamente. «Con una inversión modesta, los minoristas electrónicos pueden identificar todo el código ejecutado, analizar su relevancia para la funcionalidad del sitio web y remediar la actividad anómala que podría propagar ataques».
2. Componentes web de terceros riesgosos
Los componentes web de terceros «son un problema importante para las pequeñas empresas», dice el evangelista tecnológico Sam Curcuruto. coeficiente intelectual de riesgo.
Le dijo a E-Commerce Times que sus usuarios utilizan «una gran cantidad de complementos y código fuente abierto que pueden explotarse posteriormente para brindar a los piratas informáticos acceso a cualquier activo de red que los ejecute».
Dichas vulnerabilidades incluyen software de registro de pulsaciones que roba datos de tarjetas de crédito cuando los clientes compran en línea.
Por ejemplo, el paquete de malware Magecart inyecta código JavaScript en sitios web de comercio electrónico que ejecutan versiones no actualizadas o sin parches de software de carrito de compras, como Magento, Powerfront y OpenCart.
Curcuruto dijo que los minoristas electrónicos pueden combatir las amenazas planteadas por componentes web de terceros eligiendo un proveedor de alojamiento de sitios web o una empresa de desarrollo web de buena reputación y «asegurándose de que los contratos o acuerdos con ellos incluyan revisiones de seguridad rutinarias y periódicas».
También deberían incluir un acuerdo de nivel de servicio (SLA) de parcheo, «que establece qué tan rápido se pueden aplicar las actualizaciones a los servidores y máquinas que pueden estar ejecutando su sitio web o procesando pagos», continuó.
Curcuruto señaló que esto no sólo aborda preocupaciones de seguridad sino que también garantiza el cumplimiento de regulaciones como PCI-DSS.
3. La tendencia DDoS se está multiplicando
La Universidad de California en San Diego informa que un tercio de las direcciones IPv4 sufrieron algún tipo de ataque de denegación de servicio (DoS) entre marzo de 2015 y febrero de 2017.
Más de una cuarta parte de las direcciones objetivo del estudio estaban ubicadas en los Estados Unidos. Varias empresas de alojamiento de sitios web fueron los principales objetivos. Los más atacados son GoDaddy, Google Cloud y Wix.
A medida que más y más dispositivos se conectan a Internet y el Internet de las cosas toma forma, la frecuencia de los ataques DoS distribuidos (DDoS), lanzados desde múltiples fuentes y casi imposibles de detener, ha aumentado constantemente.
«Los ataques DDoS actuales se han convertido en eventos cada vez más sofisticados y dañinos», afirmó Weagle de Corero. Lidiar con las consecuencias (interrupciones del servicio, restauración, comunicación y recuperación de la confianza del cliente) “es un camino largo y costoso”.
Weagle recomienda que los minoristas electrónicos de las PYMES paguen a un ISP de confianza o a un socio de alojamiento para mitigar automáticamente los DDoS en el borde de la red.
El papel de su proveedor de servicios
«Aproveche la seguridad y la infraestructura de servicios web como Amazon Web Services, Google y Azure», aconseja el ingeniero de seguridad Don Duncan. Nueva seguridad de datos.
El entorno de infraestructura como servicio típico de este tipo de empresas «proporciona la continuidad empresarial necesaria para mantener las luces encendidas», dijo a E-Commerce Times.
Además, Duncan señaló que estos servicios vienen con SLA estándar, lo que permite a los minoristas centrarse en su negocio principal.
Asociarse con un proveedor de servicios gestionados de este tipo resolverá «el problema de la tecnología y la mano de obra calificada limitadas para las pequeñas y medianas empresas», dijo Gabi Reish, vicepresidente de gestión de productos y marketing de la empresa. control.
«No hay ninguna razón por la que las PYMES no deban integrar soluciones confiables de ciberseguridad», dijo a E-Commerce Times.
La industria de la ciberseguridad en su conjunto «tiene la misión de proporcionar potentes soluciones de ciberseguridad a las pequeñas y medianas empresas», dijo Resh. Estas soluciones «deben ser muy fáciles de utilizar y gestionar».
Autodefensa en ciberseguridad
Curcuruto de RiskIQ enfatiza que hay varias medidas simples que los pequeños y medianos minoristas electrónicos pueden tomar para protegerse, incluso si carecen de personal de TI.
- Configurar alertas de Google Realice un seguimiento de las menciones del nombre de su empresa, los nombres de los ejecutivos clave y los nombres de los productos.
- Mantenga sus contraseñas seguras. «Utilice contraseñas complejas y utilice contraseñas diferentes para diferentes servicios en línea», aconseja Curcuruto. «Cámbielos con frecuencia, especialmente si hay una infracción importante en otra organización en la que ha iniciado sesión».
- Mantenga una presencia digital en línea limpia. «Asegúrese de saber dónde está alojado su sitio web y quién es la principal persona de contacto de su proveedor de alojamiento», aconseja. «Desactive o cancele sus cuentas de productos y servicios que no utiliza, y controle los productos y servicios que utiliza, especialmente las redes sociales, configurando alertas de cuenta o habilitando la autenticación de dos factores».