Privileged Access Management

El comercio minorista corre peligro: desafíos y soluciones

Desde grandes multinacionales como Amazon a empresas más familiares como Mercadona, el comercio minorista se ha extendido por el mundo, al igual que lo han hecho los ciberataques, cuyo objetivo principal suele ser este sector. Cada mes, el 64% de los negocios minoristas afirma haber sido víctima de un nuevo intento de hackeo.

Existen múltiples factores por los cuales los comercios minoristas atraen a los hackers. Por suerte, también existen defensas eficaces frente a ellos.

El estado de la tecnología en los comercios minoristas

Una de las principales razones por las que los hackers suelen atacar a los minoristas es debido a su tecnología mixta. Por ejemplo, para un comercio minorista es normal tener una mezcla entre tecnologías antiguas y modernas (sistemas de puntos de venta (POS) anticuados y cajas registradoras al principio de los procesos, sistemas basados en la nube que impulsan el comercio electrónico, la logística y los sistemas administrativos en el back-end, etc.).

El estado tecnológico mixto del comercio minorista está impulsado en parte por el deseo del sector de ofrecer puntos de contacto omnicanal a los consumidores; es decir, este sector busca ofrecer comodidad al cliente, ya sea en tienda o en línea. Por consiguiente, los minoristas tardan en actualizar algunos componentes de su negocio como cajas registradoras y sistemas POS porque sus clientes ya están familiarizados con ellos, pero también porque el personal de la tienda los conoce, lo que les permite atender un gran volumen de clientes de forma eficaz. Por otro lado, los minoristas también quieren proporcionar a sus clientes la facilidad de las herramientas en línea, por lo que incorporan novedosas tecnologías, como el comercio electrónico, a sus tradicionales operaciones. Esta combinación entre sistemas antiguos y nuevos satisface los objetivos de los minoristas tanto en eficacia como en escalabilidad, pero también aumenta sus superficies de ataque.

Ciberseguridad en el comercio minorista

Los ciberataques al sector minorista son una preocupación constante: en lo que llevamos de 2018 importantes minoristas estadounidenses como Best Buy, Macy’s o Sears han sufrido hackeos. Y estos salen muy caros: el coste promedio del ataque a una página de comercio electrónico es de 4 millones de dólares, donde cada grupo de datos vale 172$. Por desgracia, estas cifras han aumentado un 29% desde 2013, ya que conforme la Big Data crece, los costes asociados a los ciberataques exitosos también aumentan.

Además de las tecnologías mixtas inherentes al sector minorista, también existen muchas otras razones por las que este tipo de negocio se ha convertido en el blanco de los ciberataques:

Datos: los negocios minoristas albergan una gran cantidad de datos de clientes, como números de tarjetas de crédito, teléfonos, preguntas y respuestas de seguridad, etc.
Turnover: en este sector hay un alto índice de rotación del personal que, de no gestionarse correctamente, puede dar lugar a muchos accesos no autorizados a las cuentas.
Comercio electrónico: la prevalencia de estos sistemas se traduce en que los comercios minoristas tienen un frente de acceso público que está conectado en segundo plano a sus sistemas críticos.
Terceros: cada uno de los proveedores y contratistas que acceden al sistema constituyen potenciales vectores de ataque.
Soluciones automatizadas de IoT: estas tecnologías, utilizadas en almacenes y logística, aumentan el número de puntos de entrada al sistema de un minorista.

La seguridad de los minoristas simplificada

Todos los riesgos mencionados anteriormente apuntan, directa o indirectamente, a la necesidad de gestionar con firmeza el acceso privilegiado. Este tipo de acceso es el que permite llevar a cabo acciones que requieren permisos elevados como consultar los servidores de bases de datos o simplemente verlos en la red.

Por ello, la Gestión del Acceso Privilegiado (PAM) se encarga, por un lado, de que los usuarios sin permisos elevados no puedan acceder a los recursos privilegiados y, por otro, de que los usuarios que sí tienen acceso privilegiado sólo puedan ver los recursos que necesitan en el lugar y momento adecuados.

Dado que muchos de los riesgos de ciberseguridad inherentes al comercio minorista están relacionados con el acceso privilegiado, una solución PAM sólida sirve para proteger a todo el sistema y volverlo mucho más seguro al conceder únicamente los privilegios apropiados, pero también revocando los mismos cuando estos dejan de ser necesarios. Así es como una solución PAM debe gestionar cada uno de los riesgos de los que acabamos de hablar:

Turnover: PAM descubre las cuentas de usuario obsoletas y revoca las credenciales privilegiadas con facilidad (o de forma automática), lo que impide que los hackers consigan perpetrar ataques exitosos a través de cuentas de empleados obsoletas.
Comercio electrónico: gracias a esta solución, los ataques a través de puntos de acceso públicos, como los inicios de sesión en páginas de comercio electrónico, se detienen antes de que puedan provocar daños sistémicos o propagarse, ya que un sistema PAM nunca concede acceso privilegiado a dichos usuarios.
Terceros: los proveedores y contratistas tan solo pueden ver los sistemas a los que están autorizados, sin posibilidad de «rebotar» en el resto. Por ejemplo, se le puede conceder acceso privilegiado a un proveedor para que desempeñe una función específica de logística y nunca sabrá de la existencia de los demás componentes del sistema, y mucho menos tendrá acceso a ellos. En el caso del contratista, se le puede conceder acceso privilegiado para que trabaje en un servidor, pero tan solo durante un periodo de tiempo limitado. En ambos casos, aunque el hacker tenga las credenciales, este seguirá sin poder provocar un daño generalizado ya que PAM evitará que se produzcan nuevos accesos.
Soluciones automatizadas de IoT: una solución PAM robusta también protege los componentes de la machine-to-machine (M2M) dentro de un sistema. Por lo tanto, aunque un hacker logre ganar control sobre un dispositivo IoT (por ejemplo, en un almacén automatizado), como la solución PAM no le ha concedido acceso privilegiado, el hacker no podrá utilizar el dispositivo como plataforma desde la que realizar más exploits.

Para proteger aún más al sistema, una solución PAM completa debe ser capaz de llevar a cabo un monitoreo de la actividad de todas las sesiones privilegiadas y, o bien terminar automáticamente todas las sesiones sospechosas, o bien alertar a los administradores (o ambas posibilidades).

La conformidad de los minoristas con la normativa simplificada

El sector minorista está sujeto a una gran variedad de regulaciones que las empresas deben cumplir: PCI DSS, RGPD, NIST y Sarbanes-Oxley, entre otras. Además de las capacidades de monitoreo de sesiones de PAM, esta solución también registra cada sesión y permite consultarla, por lo que siempre habrá una pista de auditoría para ayudar a cumplir con todas estas regulaciones. Además, las grabaciones de las sesiones también son útiles para las revisiones de seguridad y para formar a los miembros de los equipos de seguridad.

Negocios arriesgados: Webinar sobre la ciberseguridad en el comercio minorista

La ciberseguridad en el sector minorista es complicada, pero una solución que implique la Gestión del Acceso Privilegiado no tiene por qué serlo. Si desea obtener más información sobre el tema, asegúrese de ver el webinar Negocios arriesgados: la ciberseguridad en el comercio minorista, presentado en inglés por el experto en seguridad de WALLIX Grant Burst. En este webinar, Grant habla sobre los temas anteriores, proporciona sus propias reflexiones basadas en su amplia experiencia en la industria de la ciberseguridad y finalmente cuenta (la verdadera) historia de cómo un importante minorista de artículos deportivos utilizó el WALLIX Bastion y logró mejorar su ciberseguridad significativamente.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

El comercio minorista corre peligro: desafíos y soluciones

El estado de la tecnología en los comercios minoristas

Ciberseguridad en el comercio minorista

La seguridad de los minoristas simplificada

La conformidad de los minoristas con la normativa simplificada

Negocios arriesgados: Webinar sobre la ciberseguridad en el comercio minorista

La Gestión del Acceso Privilegiado (PAM) para los MSSP que utilizan AWS

Session Manager: Qué es y por qué lo necesita

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca