Debido al mayor uso del e-commerce y el valor del robo de datos de los titulares de tarjetas, los hackers atacan cada vez más a las empresas.
En 2013, los ataques hacia comercios electrónicos aumentaron 43%, en comparación con 11% de las investigaciones forenses realizadas en 2009. El Reporte Online de Seguridad Global de Trustwave indica que uno de los factores que motivan estos ataques es el mayor uso de los pagos vía tarjetas de crédito y débito, y la relativa facilidad con la que se pueden realizar los ataques.
Trustwave revela que existen algunos factores que impulsan el incremento: En primer lugar, en zonas geográficas donde la tecnología chip y pin (EMV) ha sido extensamente adoptada, los delincuentes que antes habían atacado sistemas de punto de venta, y ahora migraron hacia el comercio electrónico. Es decir, cada tarjeta de crédito/débito con chip y PIN contiene dos códigos de seguridad diferentes, uno en la banda magnética y el otro en el chip, de manera que los sistemas de seguridad actuales hacen que sea casi imposible clonar una tarjeta de pago utilizando el código en el chip, sin embargo, si los hackers obtienen acceso a los números de cuenta de los tarjetahabientes y las fechas de vencimiento, pueden usar el código de la banda magnética para realizar compras de e-commerce.
Asimismo, se detectó que otra de las razones de este crecimiento es la relativa facilidad con la que pueden llevarse a cabo, ya que muchas de las aplicaciones Web a través de las que se realiza la compra están repletas de vulnerabilidades de seguridad. Por ejemplo, de las aplicaciones analizadas en 2013, 96% de ellas tenía al menos una debilidad grave y un promedio de 13 vulnerabilidades en total por aplicación.
El fabricante indica que además de las razones técnicas que facilitan los ataques, el robo de datos de tarjetas de crédito es un modelo de negocio rentable, porque los datos de los titulares de tarjetas robados de plataformas de comercio electrónico son fáciles de monetizar. Asimismo, los criminales cibernéticos utilizan los datos de las tarjetas robadas para comprar artículos de precios elevados después venden en línea con un descuento significativo. Algunos criminales son más sofisticados y utilizan los datos robados para la fabricación de tarjetas de crédito falsificadas contratan personas para realizar la compra y venta en persona y posteriormente, les pagan una comisión por asumir los riesgos de usar una tarjeta falsificada.
Trustwave sugiere implementar controles de seguridad básicos, ya que si una empresa o persona desarrolla su propio sitio Web debe asegurarse de que su equipo técnico considere a la seguridad como una de las máximas prioridades. También recomienda la realización automatizada de análisis de vulnerabilidades para las aplicaciones Web, seguido de pruebas de penetración de sus activos. Los análisis de vulnerabilidades deben ejecutarse al menos una vez cada tres meses.
También se recomienda instalar un firewall para aplicaciones Web, para evitar que un hacker tome ventaja de sus debilidades. Asimismo, se sugiere que las empresas tengan personal interno de TI a través de alguna alianza con un equipo de expertos, que se enfoque en la seguridad.