Los comercios minoristas se están adaptando con rapidez a la experiencia de compra omnicanal de los clientes y sus cambios en los hábitos de consumo, utilizando las aplicaciones de comercio electrónico alojadas en la nube para mejorar la experiencia del cliente. Por ejemplo, el seguimiento del inventario en tiempo real y experiencias de compra personalizadas gracias al big data.
Independientemente de si las transacciones comerciales se hacen online o en persona, muchos comercios minoristas almacenan información de identificación personal (PII) y detalles de pago en la nube pública, lo cual proporciona a los ciberdelincuentes la posibilidad de atacar la base de datos o el sistema de almacenamiento en la nube. Un hecho que puede tener consecuencias devastadoras: desde pérdidas financieras y daños a la reputación hasta la pérdida de confianza por parte del cliente o acciones legales de éste.
Este factor de riesgo, que puede agravarse en entornos de nube dinámicos, y la rápida introducción de nuevos servicios de proveedores cloud puede acelerar los errores de seguridad y malas configuraciones. En este sentido, CyberArk señala algunos de los puntos débiles más comunes del comercio minorista en materia de seguridad:
- Acceso excesivo a PII con permisos mal configurados. La rápida naturaleza cambiante de la nube provoca que, en ocasiones, se otorgue acceso excesivo a las identidades humanas y de máquinas. Un hecho que puede ser aprovechado por los ciberdelincuentes para llegar a la infraestructura crítica de la nube, robar o alterar datos confidenciales o interrumpir los servicios alojados en la nube. De ahí que el principio de acceso con privilegios mínimos sea clave: todas las identidades deben tener solo los permisos mínimos necesarios para realizar las tareas previstas.
- Escalado basado en eventos durante los picos de compras. Muchos minoristas utilizan funciones sin servidor para arquitecturas basadas en eventos, lo que desencadena procesos de escalado en momentos de máxima demanda, como Black Friday o Cyber ??Monday. Este escalado rápido puede minimizar la latencia del sitio web y optimizar las experiencias de compra de los clientes, pero también puede ser muy poderoso en manos de un atacante. Por ello, la implementación de privilegios mínimos es fundamental para todas las funciones sin servidor de los proveedores principales de nube pública.
- Mejoras en la aplicación interna de la gestión de accesos e identidades (IAM). Es necesario imponer privilegios mínimos en todos los sistemas, pues aplicar la autenticación multifactor para el acceso de todos los empleados a un entorno de nube puede proporcionar una capa adicional de seguridad al reducir el riesgo de robo de credenciales. Sobre todo si pensamos que al comprometer una identidad laboral desprotegida con acceso confidencial a los recursos de la nube, se puede permitir que un atacante obtenga acceso a esos recursos.
- Secretos de aplicaciones embebidos. Los sitios de ecommerce se construyen uno encima del otro, integrándose con servicios de pago como Paypal o similares. Al crear sus aplicaciones de comercio electrónico, los desarrolladores a veces pueden dejar credenciales, contraseñas, claves o tokens embebidos en el código, exponiéndolos a posibles ataques. A lo largo de los pipelines de DevOps y las cadenas de suministro de software de comercio electrónico, todos los secretos deben administrarse de forma segura y rotarse mediante programación para reducir el riesgo.
- Vulnerabilidades en la web de comercio electrónico. Los atacantes también buscan cómo aprovechar las vulnerabilidades más comunes de las webs de comercio electrónico. Sin las capas de seguridad adecuadas, los comercios minoristas son vulnerables a ataques como la denegación de servicio distribuida (DDoS), la inyección de SQL y el skimming, que pueden interrumpir el negocio y permitir a los atacantes acceso a datos valiosos de los clientes.
