Tiempo de lectura: 6 min

Consejos para prevenir las 4 infracciones de datos más comunes

martes, octubre 05, 2021

6

En épocas de inestabilidad como la de la pandemia global de la COVID-19, las ciberamenazas aumentan a medida que los ciberdelincuentes buscan aprovecharse de las empresas cuando su atención está puesta en otro lugar. Sin embargo, si vigilas la seguridad, sabes qué vulnerabilidades hay que buscar y tomas medidas de precaución, puedes reducir en gran medida el riesgo de sufrir una violación.

Estas son las cuatro vulnerabilidades más comunes que buscaban los ciberdelincuentes:

1. Proveedores externos inseguros

Una de las vulnerabilidades más comunes que impacta directamente en la seguridad del entorno de tu empresa es el uso de proveedores externos inseguros. Estos proveedores suelen proporcionar a las empresas servicios de procesamiento de pagos, pero no de manera segura.

Los ladrones de datos han aprendido que pueden aprovecharse de los proveedores inseguros para llegar a varios clientes y comprometer la información de sus tarjetas de crédito. Un ejemplo común es el de los proveedores que utilizan el acceso remoto al entorno de procesamiento del cliente para el mantenimiento de rutina. Los ladrones de datos que buscan explotar una empresa aprovechan las contraseñas predeterminadas o las estafas de phishing dirigidas al proveedor para obtener credenciales que les permitan acceder al entorno empresarial e implementar el programa malicioso, lo que en última instancia lleva a comprometer los datos de la tarjeta.

“Asegúrate de conocer a todos los proveedores externos que intervienen en el entorno de tu tarjeta de crédito y sus funciones”, aconseja Stacy Hughes, directora de Seguridad de la Información de Global Payments. «Debes saber si esos proveedores cumplen con PCI DSS y si están implementando sus procesos de forma segura».

Además, verifica qué funciones de seguridad utiliza tu proveedor de pagos, como cifrado, tokenización y 3D Secure, para reducir los datos de tus clientes y el riesgo de fraude. Un proveedor bien protegido puede ofrecer productos de seguridad de pago que pueden protegerte en gran medida y reducir tus posibilidades de convertirte en víctima de una violación de datos.

2. Parches de seguridad

Otra vulnerabilidad común tiene que ver con los parches de seguridad. En muchos casos, las empresas no son conscientes de que los parches de seguridad de rutina para sus cortafuegos, software antivirus o plataformas de software están desactualizados. Los proveedores de software y plataformas a menudo publican actualizaciones de seguridad para que los usuarios las implementen a fin de garantizar que su software esté actualizado para protegerse contra los ciberataques.

«Debes completar todos los parches de seguridad necesarios en todos los sistemas que están vinculados a tu entorno de procesamiento», dijo Hughes. «Puedes programarlos de forma rutinaria para no tener que preocuparte por perder ningún cambio necesario».


«Si vigilas la seguridad, sabes qué vulnerabilidades hay que buscar y tomas medidas de precaución, puedes reducir en gran medida el riesgo de sufrir una violación».

3. Contraseñas débiles o robadas

Según el informe de investigación de violaciones de datos de Verizon de 2019 (Data Breach Investigation Report), el 80% de las actividades relacionadas con la piratería informática ocasionan credenciales comprometidas o débiles. Por lo general, las contraseñas débiles son el resultado del uso de contraseñas predeterminadas, como «contraseña», «bienvenida», «12345», de proveedores externos. En muchos casos, los titulares de cuentas se olvidan o no cambian la contraseña que les asignó arbitrariamente un proveedor externo para poder entrar por primera vez. ¿El resultado final? Los piratas informáticos aprovechan esta vulnerabilidad.

«Es imprescindible que crees contraseñas únicas asociadas con tus sistemas informáticos, el acceso a Internet y el entorno de pago», dice Hughes. “Utiliza contraseñas seguras que incluyan al menos siete caracteres con números, símbolos y letras, al menos uno en mayúscula. Y cámbialas con frecuencia, preferiblemente cada tres meses».

Los piratas informáticos obtienen fácilmente las contraseñas robadas mediante ataques de phishing. Los piratas informáticos fingen ser un contacto legítimo (por ejemplo, parte del equipo de TI) y se comunican con sus empleados para intentar engañarlos para que proporcionen su contraseña.

“Es fundamental capacitar a tus empleados sobre cómo protegerse de los ataques de phishing, así como sobre las políticas de seguridad de la empresa. Por ejemplo, los empleados deben saber que nunca deben dar sus contraseñas o credenciales de inicio de sesión y sospechar de los correos electrónicos que las solicitan «, dice Hughes.

4. Vulnerabilidades del eCommerce

Los ladrones de datos de tarjetas buscarán en los sitios web una serie de vulnerabilidades, como certificados SSL débiles u obsoletos o plataformas de software. Las plataformas de software como Magento de Adobe suelen lanzar actualizaciones de seguridad para que los usuarios las implementen a fin de garantizar que su software esté actualizado para protegerse contra los últimos ciberataques. Sin embargo, las personas que son responsables de administrar las implementaciones de eCommerce a menudo no están al tanto, o simplemente, no han tomado los pasos necesarios para actualizar su solución con estas actualizaciones de seguridad. Esto los deja vulnerables a un ciberataque. Los ciberdelincuentes pueden inyectar código JavaScript malicioso en el sitio web del comerciante para robar los datos de la tarjeta de crédito.

Es más, los ciberdelincuentes ahora son lo suficientemente sofisticados como para crear copias del carrito de compras del comerciante o iFrame* para poder robar datos de tarjetas. Y, al titular de la tarjeta, le figura que todavía están directamente en el sitio web del comerciante cuando, en realidad, no lo está.

Cualquier entidad que maneje las tarjetas de crédito y las acepte como pago es responsable de garantizar que maneja todos los datos de forma segura como se indica en los estándares de seguridad de los datos de la industria de tarjetas de pago (PCI DSS).

Para ayudarte a mantenerte al tanto de la seguridad, la siguiente lista de verificación de las comprobaciones debidas puede ayudar:

  • ¿Se han parcheado tus plataformas de software con todas y cada una de las actualizaciones de seguridad? ¿Estás utilizando la última versión de software?
  • ¿Sabes de quién es la responsabilidad de implementar las actualizaciones y los parches? ¿Es tuya o el del proveedor de servicios alojado? Visita los estándares de seguridad de datos de PCI y consulta el desglose de funciones y responsabilidades en el apéndice. Es importante asegurarte de que tu carrito de compras tenga las funciones de seguridad más actualizadas al aceptar pagos a través de Internet. Hacer que un tercero, como tu procesador de pagos o adquirente, mantenga o “aloje” algunas de estas funciones, incluidos JavaScript o iFrames, puede ayudar a proteger mejor los datos de tus clientes.
  • Asegúrate de utilizar los certificados SSLl/TLS** más seguros, como TLS 1.2
  • Recuerda siempre los tres grandes elementos presentes en la mayoría de las violaciones:
    • Las actualizaciones de software y los parches son controles básicos fundamentales para tu seguridad.
    • La gestión de contraseñas y las contraseñas seguras son esenciales.
    • Gestiona y limita estrictamente el acceso administrativo, así como cualquier acceso remoto al portal administrativo.

Si se descubre o se te ha notificado que puede haberse producido una manipulación, sigue estos pasos:

  • Detén el procesamiento en el entorno del eCommerce comprometido, al menos temporalmente. Busca métodos de procesamiento alternativos, como terminales de tarjetas de crédito, a través de la conexión.
  • No elimines nada ni intentes «limpiar» ningún dato. Esto podría afectar el éxito de cualquier investigación necesaria.
  • Los clientes de Global Payments deben notificarnos de inmediato.
  • Notifica a tu proveedor de alojamiento externo (si corresponde).

Mientras navegas por el nuevo panorama comercial actual, estamos aquí para ayudarte a mantener tu negocio y tus clientes seguros. Para ello, hemos creado el programa de protección de comerciantes para ayudarte a proteger tu entorno de procesamiento y lograr el cumplimiento de PCI DSS. Otro recurso útil es el micrositio de comerciantes PCI SSC, que tiene muchas guías útiles incluyendo recursos de parcheo para ayudar con el software obsoleto.

Recomendado para ti