El comercio minorista corre peligro: los desafíos en ciberseguridad y sus soluciones

Desde grandes multinacionales como Amazon a empresas más familiares como Mercadona, el comercio minorista se ha extendido por el mundo, al igual que lo han hecho los ciberataques, cuyo objetivo principal suele ser este sector. Cada mes, el 64% de los negocios minoristas afirma haber sido víctima de un nuevo intento de hackeo.

Existen múltiples factores por los cuales los comercios minoristas atraen a los hackers. Por suerte, también existen defensas eficaces frente a ellos.

El estado de la tecnología en los comercios minoristas

Una de las principales razones por las que los hackers suelen atacar a los minoristas es debido a su tecnología mixta. Por ejemplo, para un comercio minorista es normal tener una mezcla entre tecnologías antiguas y modernas (sistemas de puntos de venta (POS) anticuados y cajas registradoras al principio de los procesos, sistemas basados en la nube que impulsan el comercio electrónico, la logística y los sistemas administrativos en el back-end, etc.).

El estado tecnológico mixto del comercio minorista está impulsado en parte por el deseo del sector de ofrecer puntos de contacto omnicanal a los consumidores; es decir, este sector busca ofrecer comodidad al cliente, ya sea en tienda o en línea. Por consiguiente, los minoristas tardan en actualizar algunos componentes de su negocio como cajas registradoras y sistemas POS porque sus clientes ya están familiarizados con ellos, pero también porque el personal de la tienda los conoce, lo que les permite atender un gran volumen de clientes de forma eficaz. Por otro lado, los minoristas también quieren proporcionar a sus clientes la facilidad de las herramientas en línea, por lo que incorporan novedosas tecnologías, como el comercio electrónico, a sus tradicionales operaciones. Esta combinación entre sistemas antiguos y nuevos satisface los objetivos de los minoristas tanto en eficacia como en escalabilidad, pero también aumenta sus superficies de ataque.

Ciberseguridad en el comercio minorista

Los ciberataques al sector minorista son una preocupación constante: en lo que llevamos de 2018 importantes minoristas estadounidenses como Best Buy, Macy’s o Sears han sufrido hackeos. Y estos salen muy caros: el coste promedio del ataque a una página de comercio electrónico es de 4 millones de dólares, donde cada grupo de datos vale 172$. Por desgracia, estas cifras han aumentado un 29% desde 2013, ya que conforme la Big Data crece, los costes asociados a los ciberataques exitosos también aumentan.

Además de las tecnologías mixtas inherentes al sector minorista, también existen muchas otras razones por las que este tipo de negocio se ha convertido en el blanco de los ciberataques:

  • Datos: los negocios minoristas albergan una gran cantidad de datos de clientes, como números de tarjetas de crédito, teléfonos, preguntas y respuestas de seguridad, etc.
  • Turnover: en este sector hay un alto índice de rotación del personal que, de no gestionarse correctamente, puede dar lugar a muchos accesos no autorizados a las cuentas.
  • Comercio electrónico: la prevalencia de estos sistemas se traduce en que los comercios minoristas tienen un frente de acceso público que está conectado en segundo plano a sus sistemas críticos.
  • Terceros: cada uno de los proveedores y contratistas que acceden al sistema constituyen potenciales vectores de ataque.
  • Soluciones automatizadas de IoT: estas tecnologías, utilizadas en almacenes y logística, aumentan el número de puntos de entrada al sistema de un minorista.

La seguridad de los minoristas simplificada

Todos los riesgos mencionados anteriormente apuntan, directa o indirectamente, a la necesidad de gestionar con firmeza el acceso privilegiado. Este tipo de acceso es el que permite llevar a cabo acciones que requieren permisos elevados como consultar los servidores de bases de datos o simplemente verlos en la red.

Por ello, la Gestión del Acceso Privilegiado (PAM) se encarga, por un lado, de que los usuarios sin permisos elevados no puedan acceder a los recursos privilegiados y, por otro, de que los usuarios que sí tienen acceso privilegiado sólo puedan ver los recursos que necesitan en el lugar y momento adecuados.

Dado que muchos de los riesgos de ciberseguridad inherentes al comercio minorista están relacionados con el acceso privilegiado, una solución PAM sólida sirve para proteger a todo el sistema y volverlo mucho más seguro al conceder únicamente los privilegios apropiados, pero también revocando los mismos cuando estos dejan de ser necesarios. Así es como una solución PAM debe gestionar cada uno de los riesgos de los que acabamos de hablar:

  • Turnover: PAM descubre las cuentas de usuario obsoletas y revoca las credenciales privilegiadas con facilidad (o de forma automática), lo que impide que los hackers consigan perpetrar ataques exitosos a través de cuentas de empleados obsoletas.
  • Comercio electrónico: gracias a esta solución, los ataques a través de puntos de acceso públicos, como los inicios de sesión en páginas de comercio electrónico, se detienen antes de que puedan provocar daños sistémicos o propagarse, ya que un sistema PAM nunca concede acceso privilegiado a dichos usuarios.
  • Terceros: los proveedores y contratistas tan solo pueden ver los sistemas a los que están autorizados, sin posibilidad de «rebotar» en el resto. Por ejemplo, se le puede conceder acceso privilegiado a un proveedor para que desempeñe una función específica de logística y nunca sabrá de la existencia de los demás componentes del sistema, y mucho menos tendrá acceso a ellos. En el caso del contratista, se le puede conceder acceso privilegiado para que trabaje en un servidor, pero tan solo durante un periodo de tiempo limitado. En ambos casos, aunque el hacker tenga las credenciales, este seguirá sin poder provocar un daño generalizado ya que PAM evitará que se produzcan nuevos accesos.
  • Soluciones automatizadas de IoT: una solución PAM robusta también protege los componentes de la machine-to-machine (M2M) dentro de un sistema. Por lo tanto, aunque un hacker logre ganar control sobre un dispositivo IoT (por ejemplo, en un almacén automatizado), como la solución PAM no le ha concedido acceso privilegiado, el hacker no podrá utilizar el dispositivo como plataforma desde la que realizar más exploits.

Para proteger aún más al sistema, una solución PAM completa debe ser capaz de llevar a cabo un monitoreo de la actividad de todas las sesiones privilegiadas y, o bien terminar automáticamente todas las sesiones sospechosas, o bien alertar a los administradores (o ambas posibilidades).

La conformidad de los minoristas con la normativa simplificada

El sector minorista está sujeto a una gran variedad de regulaciones que las empresas deben cumplir: PCI DSS, RGPD, NIST y Sarbanes-Oxley, entre otras. Además de las capacidades de monitoreo de sesiones de PAM, esta solución también registra cada sesión y permite consultarla, por lo que siempre habrá una pista de auditoría para ayudar a cumplir con todas estas regulaciones. Además, las grabaciones de las sesiones también son útiles para las revisiones de seguridad y para formar a los miembros de los equipos de seguridad.

Negocios arriesgados: webinar sobre la ciberseguridad en el comercio minorista

La ciberseguridad en el sector minorista es complicada, pero una solución que implique la Gestión del Acceso Privilegiado no tiene por qué serlo. Si desea obtener más información sobre el tema, asegúrese de ver el webinar Negocios arriesgados: la ciberseguridad en el comercio minorista, presentado en inglés por el experto en seguridad de WALLIX Grant Burst. En este webinar, Grant habla sobre los temas anteriores, proporciona sus propias reflexiones basadas en su amplia experiencia en la industria de la ciberseguridad y finalmente cuenta (la verdadera) historia de cómo un importante minorista de artículos deportivos utilizó el WALLIX Bastion y logró mejorar su ciberseguridad significativamente.