Las interfaces de programación de aplicaciones (API) han sido la columna vertebral invisible del comercio minorista en línea durante mucho tiempo. Permite a los minoristas integrar perfectamente la compleja web Comercio electrónico La interconexión de diferentes sistemas, que regulan todo, desde el procesamiento de pagos hasta la logística de envío y la gestión de inventario, ha convertido al sector minorista en un objetivo lucrativo para los actores de amenazas. Al enfrentarse a un aluvión de 19 mil millones de solicitudes de códigos maliciosos solo en 2023, los minoristas han sufrido intentos incesantes de explotar vulnerabilidades en cualquier eslabón de la cadena API, lo que podría provocar robo de datos, interrupciones operativas o daños financieros.
La temporada de regreso a clases es el momento perfecto para los actores de amenazas. Los minoristas han sido conscientes de este hecho durante años y, por lo general, aumentan la seguridad durante las horas pico. Sin embargo, este enfoque ya no es infalible. Atacantes sofisticados lanzan “campañas relámpago” a principios de año para sentar las bases para las ventas estacionales, eludiendo efectivamente los bloqueos de seguridad de los minoristas.
Director del equipo de investigación de amenazas CQ Prime en Cequence Security.
Juega el juego largo
En el pasado, los actores de amenazas favorecían el cibercrimen hack-and-grab: esquemas simples y oportunistas que apuntan a vulnerabilidades de fácil acceso. Pero hoy estos esquemas están evolucionando. Al invertir más tiempo y recursos en el sigilo, distribuyen los ataques durante períodos más largos, con el objetivo de ser sigilosos y causar mayores daños en los momentos pico.
Los atacantes eludieron los cierres de seguridad creando grandes cantidades de cuentas válidas a través de API estándar a principios de año. Esta medida bien pensada tiene como objetivo establecer confianza y credibilidad dentro del mercado, promover un mayor compromiso social y ampliar el alcance antes de las temporadas altas de compras. Los atacantes utilizan herramientas sofisticadas y automatización para mejorar la legitimidad de las cuentas e imitar la actividad normal del usuario, incluida la comunicación con otras cuentas, dar me gusta al contenido y suscribirse a servicios.
Pero la escala de estas operaciones a menudo excede las capacidades humanas, lo que genera señales de advertencia. Esta afluencia masiva de actividad margina a los usuarios legítimos y pone en peligro la integridad de la empresa y su mercado. Este tipo de ataque representa la cuidadosa planificación y la persistencia de los ataques dirigidos al sector minorista moderno.
Más allá del juego a largo plazo, los atacantes suelen recurrir a tácticas en tiempo real: el secuestro de cuentas. En lugar de perder tiempo creando miles de cuentas “legítimas”, las apropiaciones de cuentas implican apuntar y hacerse cargo de cuentas de clientes existentes, lo que proporciona un camino mucho más rápido hacia el éxito. Esta amenaza continúa, pero no sorprende que la actividad aumente durante los períodos de mayor actividad comercial, con un asombroso aumento de 410 veces en las apropiaciones de cuentas durante la segunda mitad del año.
Los ataques de bots siguen siendo una amenaza
Otra táctica probada y verdadera en el campo de batalla digital de las tiendas es el ataque de bots en constante evolución. ¿Recuerda la locura por las entradas para conciertos o las fugaces tendencias de TikTok que fueron secuestradas por guiones automatizados? Esto es sólo la punta del iceberg. La facilidad con la que los bots manipulan los sistemas es alarmante: hilos detallados de Reddit, guías prácticas e incluso clasificaciones de los “mejores bots” se difunden fácilmente en Internet. Las cifras pintan un panorama sombrío: de los 154 mil millones de solicitudes de API, la asombrosa cifra de 22 mil millones de solicitudes se originaron en bots.
Así es como evolucionan estos ataques de bots: los atacantes aprovechan las herramientas y la automatización para abrumar al sistema con una gran cantidad de acciones. Añaden grandes cantidades de artículos solicitados a sus carritos de compras para monopolizar el mercado y evitar que los clientes legítimos compren. Los ataques exitosos dan como resultado que los atacantes revendan estos artículos en otros lugares a precios exorbitantes, lo que frustra aún más a clientes y vendedores.
¿Qué pueden hacer los minoristas para prepararse?
El viejo modelo del impulso al estrés ciberseguridad Antes de que las grandes ventas ya no sean suficientes. Mientras los actores de amenazas se preparan con mucha antelación, los minoristas deben hacer lo mismo. Crear una estrategia de seguridad integral durante todo el año es esencial para combatir eficazmente el aumento de cuentas falsas y otras amenazas durante las temporadas altas.
Dado el papel vital que desempeñan las API en la industria minorista, las empresas deben ser plenamente conscientes de su uso e implementar estrategias de defensa integrales. Las API expuestas y no administradas, o API en la sombra, son una opción fácil para los actores de amenazas que utilizan tácticas de “intrusión y toma de control”. La visibilidad es crucial en la seguridad de las API. Al clasificar cuidadosamente las API internas y externas, un minorista puede obtener una visión integral de toda la superficie de ataque, lo que le permite hacer cumplir los estándares de seguridad en todas las API. Esta visibilidad integral es fundamental para defenderse eficazmente contra ataques rápidos y maniobras más maliciosas a largo plazo, protegiendo las operaciones minoristas y mejorando la confianza de los clientes.
Enumeramos las mejores pasarelas de pago.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no reflejan necesariamente los puntos de vista de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro