Las amenazas a la seguridad cibernética son una preocupación creciente para las empresas minoristas, ya que adoptan cada vez más los autopagos a través de Apple, Google Pay u otras plataformas de pago. Desde 2005, los minoristas han visto más de 10,000 violaciones de datos, principalmente debido a fallas y vulnerabilidades en los sistemas de pago.
Los sistemas de punto de venta (POS) a menudo utilizan una gran cantidad de hardware externo, software y componentes basados en la nube.
“Como mínimo, los minoristas deben asegurarse de que su parte contratada los cumpla y observará los mismos requisitos de cumplimiento de seguridad que tiene la propia empresa. Existen numerosas oportunidades para que un ciberdelincuente aproveche el sistema, ya sea en la fuente del proveedor que proporciona la solución o cuando la tecnología se implementa en el sitio. La explotación de una vulnerabilidad en el software utilizado en los dispositivos POS (o incluso en los servicios de nube de back-end) podría permitir que un ciberdelincuente implemente malware en el dispositivo POS. Esto les permitiría recolectar datos financieros, infligir un ataque de malware como ransomware o usar el dispositivo para conectarse a otros sistemas internos”, dijo Tony Anscombe, evangelista jefe de seguridad de ESET.
Los efectos de los ataques cibernéticos en los minoristas pueden incluir fuertes multas, sanciones, pérdida de datos, pérdidas financieras y daños a la reputación.
También hay amenazas de seguridad a las que se enfrentan los usuarios cuando utilizan dispositivos IoT en el comercio minorista. Más del 84 por ciento de las organizaciones utilizan Dispositivos de IoT. Sin embargo, menos del 50% ha tomado medidas de seguridad sólidas contra los ciberataques. Por ejemplo, la mayoría de las organizaciones usan las mismas contraseñas durante mucho tiempo, lo que aumenta los ataques de fuerza bruta, lo que permite a los hackers robar y manipular datos.
Los dispositivos IoT se pueden usar para rastrear los movimientos de los clientes y los historiales de compras, y los piratas informáticos podrían obtener acceso a estos datos. Además, los clientes podrían correr el riesgo de ser estafados al usar plataformas de pago como Apple Pay. Estas estafas pueden tomar muchas formas, como aplicaciones falsas que roban información personal o sitios web que engañan a los clientes para que ingresen los detalles de su tarjeta de crédito.
“La introducción de estos nuevos mecanismos de pago señala el comienzo de un nuevo ciclo de adopción de tecnología. Desde el punto de vista de la seguridad, aquí es cuando las cosas suelen ser más vulnerables. Además, los dispositivos conectados que impulsan esta transformación ya se consideran el eslabón más débil en otros escenarios de implementación mucho más maduros. Creo que en el comercio minorista, al igual que en otras industrias, veremos que estos dispositivos se explotan para obtener una presencia persistente en la red, exponer datos confidenciales, ejecutar estafas digitales y más. E incluso si los nuevos dispositivos son extremadamente seguros en sí mismos, y este es un gran IF, todavía se están introduciendo en un entorno repleto de IoT heredado, que se puede utilizar para eludir sus propias defensas. Mirando las cosas desde la perspectiva de los malos actores, lo que tenemos aquí es una expansión masiva de la superficie de ataque, que agrega muchas "oportunidades" nuevas de alto valor a lo que ya era un entorno rico en objetivos ", dijo Natali Tshuva, el CEO y cofundador de Sternum, una empresa de seguridad, observación y análisis de IoT residente en dispositivos y sin códigos.
Cada dispositivo IoT tiene su propia cadena de suministro de software en su interior. Esto se debe a que el código que ejecuta el dispositivo es en realidad una combinación de varios proyectos de código abierto y cerrado. Como tal, una de las amenazas presentes más inmediatas es la exposición de la información confidencial o incluso personal de los clientes con el fraude cibernético. “Esto es diferente de otras estafas digitales, como el phishing y otros tipos de ingeniería social”, dijo Tshuva.
“Aquí, el objetivo no tendrá la opción de prevenir el ataque a través de la vigilancia o incluso sospechar que algo está sucediendo, ciertamente no hasta que sea demasiado tarde”.
“Nos rodeamos de dispositivos conectados, pero son 'cajas negras' para nosotros y nunca sabemos realmente, o tenemos formas de saber, lo que realmente sucede dentro”.
Según Tshuva, la mayoría de los dispositivos IoT de hoy en día ya funcionan con código de varios (quizás unas pocas docenas) proveedores de software diferentes, algunos de los cuales nunca has oído hablar. Por lo general, estos componentes de terceros son los que se encargan del cifrado, la conectividad y otras funciones confidenciales. E incluso el sistema operativo podría ser una mezcla de varios sistemas operativos diferentes integrados”.
“Esto expone uno de los principales desafíos de la seguridad de IoT que, nuevamente, se remonta a la idea de expandir la superficie de ataque. Porque con cada dispositivo que introduce en el sistema, lo que en realidad está agregando es una mezcla de código de varios proveedores de software, cada uno con sus propias vulnerabilidades para agregar a la mezcla”, concluyó Tshuva.
Los minoristas deben tomar una serie de pasos para protegerse a sí mismos y a sus clientes de las amenazas de seguridad cibernética. Deben asegurarse de que sus sistemas estén actualizados con los últimos parches de seguridad y también deben tener un plan de seguridad integral. Los empleados deben recibir capacitación sobre cómo identificar y responder a las amenazas de seguridad, y los clientes deben ser conscientes de los riesgos de usar dispositivos IoT en el comercio minorista.
“A medida que los minoristas adoptan IoT para la vigilancia de la ubicación de sus clientes, crean conjuntos de datos ricos sobre los movimientos y hábitos de compra de los consumidores. Estos registros crean un rastro de datos que debe protegerse con mucho cuidado, ya que la información de compra junto con los movimientos pueden revelar hábitos extremadamente privados. Hemos visto una miríada de ataques dirigidos a minoristas en el punto de compra y, si esto puede combinarse con el camino que toman los clientes a través de una tienda, un centro comercial o incluso a través de ciudades y continentes, los consumidores tendrán un fuerte recurso por daños y perjuicios contra cadenas minoristas”, dijo Sean O'Brien, fundador de Yale Privacy Lab.
Para comprender las amenazas, las organizaciones deben comprender que la adopción de soluciones digitales por parte de las empresas minoristas significa adoptar soluciones dependientes del software y aumentar la superficie de ataque de los ciberdelincuentes.
“Lo que solía ser una caja registradora mecánica ahora es un punto de venta “inteligente” que procesa y recopila información de pago de los clientes, lo que los convierte en un objetivo deseable. Estos sistemas suelen estar conectados a una solución de comercio electrónico mayor, como tiendas en línea/facturación/inventario, etc., lo que podría convertirlos en un punto de entrada a sistemas más críticos. Al depender de soluciones inteligentes, las empresas minoristas también se encuentran susceptibles a ransomware y ataques de denegación de servicio que bloquean su capacidad para realizar transacciones. Además, los dispositivos PoS, al ser pequeñas computadoras, pueden usarse en grandes ataques de botnets”, dijo Maty Siman, CTO y fundador de Checkmarx.
Las empresas de comercio electrónico utilizan muchos proveedores diferentes para sus procesos. Desde hardware y software hasta operaciones y servicios financieros, todos los proveedores utilizan más software y componentes de terceros que, a su vez, también dependen de componentes de terceros.
“Si un actor malicioso puede explotar o introducir una “puerta trasera” a cualquier componente en el camino, básicamente está obteniendo acceso a las soluciones finalizadas que se pueden encontrar más adelante en los negocios minoristas. Cuando todo depende del software en estos días, la dependencia del software de código abierto intensifica estos problemas”, dijo Siman.
Según Siman, la educación de los empleados sobre las mejores prácticas de seguridad es esencial. “Es necesario realizar copias de seguridad de los datos con regularidad, y los usuarios minoristas deben usar contraseñas seguras y MFA. La red utilizada para las transacciones debe estar aislada de otras redes, y los dispositivos y su software deben actualizarse y parchearse periódicamente”.
Los humanos siguen siendo la amenaza más importante, dice Sean Tufts, líder de seguridad de IoT/OT en Optiv. “Tener menos empleados o interacción cara a cara en el punto de venta y/o en la caja conduce a más robos físicos, pero también expone a estos minoristas a una mayor manipulación por parte de agentes de amenazas inteligentes que buscan aprovechar la ventaja de una tienda. confianza. Cuantas más máquinas se dejen desatendidas, más interfaces se pueden manipular y se manipularán, por ejemplo, se instalarán skimmers y se accederá a los puertos”.
Fuente: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/