Mientras los compradores online hacen clic, son los ladrones quienes cobran

Por Danny Bradbury • 10 May 2023

El comercio electrónico está en auge, al igual que los ciberataques que afectan a minoristas y clientes. A medida que crecen las transacciones de comercio electrónico digital, comienza la carrera por soluciones de tecnología financiera que puedan ayudar a detener el flujo de datos de clientes –y dinero en efectivo– a los atacantes en línea.

El comercio electrónico explotó durante la pandemia cuando todos se vieron obligados a comprar desde casa. Incluso ahora que la emergencia ha remitido, las ventas online siguen aumentando. comercializador electrónico predice un crecimiento de 4.2 billones de dólares en ventas globales en línea durante 2020 a 7.4 billones de dólares en 2025. Las ventas de comercio electrónico como proporción de las ventas minoristas totales también crecerán del 17.9% en 2020 al 23.6% en 2025, añade.

Una marea creciente de amenazas a la seguridad

A medida que crece el comercio electrónico, también lo hacen los riesgos de ciberseguridad que enfrenta. Estado de la seguridad de Imperva en el comercio electrónico 2022 en donde encontró varias amenazas en línea dirigidas a proveedores de comercio electrónico.

Uno de los tipos de ataques más frecuentes a los sitios de comercio electrónico es el secuestro de cuentas. La encuesta de Imperva indicó que los intentos de apoderarse de las cuentas de los clientes representaron el 22.6% de todos los inicios de sesión en sitios minoristas, casi el doble de la proporción en todos los sectores. Cada vez más minoristas en línea ofrecen servicios de comprar ahora, pagar después (BNPL), lo que presenta otra oportunidad de fraude para los secuestradores de cuentas.

Los delincuentes suelen automatizar sus ataques a sitios web de comercio electrónico. Pueden llevar a cabo ataques de relleno de credenciales para apropiación de cuentas, pero también automatizar compras para aspirar inventario buscado que los revendedores pueden vender más tarde para obtener grandes ganancias. Según el informe de Imperva, los bots maliciosos representan poco menos de una cuarta parte del tráfico a los sitios de comercio electrónico minorista.

Según Imperva, los ataques del lado del cliente se encontraban entre los riesgos más importantes para los proveedores de comercio electrónico. Estos ataques, tipificados por grupos como Magecart, insertan JavaScript malicioso en páginas web comprometidas. Los minoristas son los terceros con mayor probabilidad de incluir JavaScript en sus sitios web, la mayoría de los cuales son scripts de terceros. Estos scripts hojean los detalles de la tarjeta de crédito cuando los clientes realizan un pedido.

En lugar de robar datos, algunos ciberataques simplemente dificultan el funcionamiento de los sitios de comercio electrónico. Imperva dijo que los minoristas de comercio electrónico representaron alrededor de uno de cada 20 de todos los ataques distribuidos de denegación de servicio (DDoS), que es un número relativamente pequeño en comparación con el 29.5% de los servicios financieros. Sin embargo, sigue siendo una preocupación para los minoristas de comercio electrónico que pierden dinero por cada minuto de inactividad.

Regulación

A estos riesgos digitales podemos sumar otro riesgo empresarial: la regulación. La aplicación de prácticas esenciales de ciberseguridad y privacidad en el comercio electrónico recae en un mosaico de leyes federales que incluyen algunas protecciones de ciberseguridad. Aunque el Congreso de Estados Unidos todavía tiene que adoptar una postura firme sobre leyes específicas para hacer cumplir la seguridad del comercio electrónico, hay reglas que romper.

Las empresas de comercio electrónico se rigen por la Ley de la Comisión Federal de Comercio (FTCA), que los fiscales pueden utilizar para castigar a las empresas que no gestionan adecuadamente su ciberseguridad. Las empresas de comercio electrónico que manejen mal su ciberseguridad también podrían violar la Ley de Protección de la Privacidad Infantil en Línea.

También existen leyes estatales que se aplican a las fintechs y, en algunos casos, a los minoristas que utilizan sus servicios. Por ejemplo, la Ley de Protección al Consumidor de California (CCPA) y su sucesora, la Ley de Derechos de Privacidad de California, cubren a las empresas de cierto tamaño que recopilan y utilizan datos de los consumidores, incluidos los proveedores de comercio electrónico. Virginia y Colorado también han implementado sus propias leyes de protección de datos del consumidor en ausencia de una ley federal equivalente.

La industria de pagos también tiene algunas regulaciones propias. uno es el Estándar de seguridad de datos PCI (PCI DSS) del PCI Security Standards Council. Esta especificación detalla con gran detalle las medidas de seguridad necesarias para proteger los datos de los titulares de tarjetas de crédito. El incumplimiento puede dar lugar a sanciones de entre 5,000 y 100,000 dólares por cada mes de incumplimiento, según el tamaño de la empresa y el alcance de la infracción.

El Ayuntamiento publicado la última versión del estándar, 4.0, en marzo de 2022. Incluye más controles para proteger los datos de las tarjetas de crédito en línea, incluida la exigencia de autenticación multifaccional (MFA) para acceder a los datos de los titulares de tarjetas y el uso de análisis de riesgos específicos para adaptar medidas de ciberseguridad a empresas específicas. También abordó la amenaza Magecart con orientación sobre la gestión de scripts de pago que los sitios cargan y ejecutan en el navegador del consumidor.

Un mayor enfoque en la ciberseguridad fintech

Fintech es un eje para la protección de la seguridad en el espacio del comercio electrónico. Las fintech surgieron para impulsar la velocidad y la eficiencia en los flujos de trabajo financieros, como las solicitudes de préstamos y los pagos. Las empresas de comercio electrónico utilizan los servicios fintech para ayudar con sus propios problemas de eficiencia y ciberseguridad. Las empresas de tecnología financiera pueden reducir la fricción al solicitar un crédito a un proveedor de comercio electrónico. Pueden agilizar y acelerar los pagos y utilizar análisis de datos y búsqueda de registros para detectar y prevenir el fraude.

Ha comenzado la carrera para encontrar soluciones fintech que puedan ayudar a reforzar la seguridad de las empresas de comercio electrónico y otros socios. El pulso de la tecnología financiera de KPMG (reporte) Para la segunda mitad de 2022 estaba preocupado por las inversiones en tecnología financiera que cubrían la ciberseguridad y el cumplimiento normativo.

Dado que el comercio electrónico se apropiará de una proporción cada vez mayor de los ingresos minoristas, los minoristas serán juzgados por su capacidad para interactuar con los clientes en línea y proteger sus datos adecuadamente. No es de extrañar que la atención se esté centrando en las fintech, que pueden ayudar a combatir el fraude y garantizar que sólo se realicen transacciones legítimas.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury