Un estudio reveló que ninguna otra industria está involucrada en el credential stuffing como el comercio electrónico. Otros sectores no pueden declararse a sí mismos completamente seguros. Ha llegado el momento de echar un vistazo más de cerca a este fenómeno criminal que pone en peligro los datos de acceso de los usuarios.
¿Qué es el credential stuffing?
Si nunca has oído hablar del credential stuffing, te preguntarás cuál es el propósito de los ciberdelincuentes con este tipo de ataque. La respuesta es bastante simple. El credential stuffing es el robo y el mal uso de las credenciales de un computador personal. Mediante el uso de credenciales robadas, obtenidas a través de una fuga de datos o mediante phishing, los ciberdelincuentes pueden acceder a las cuentas personales de sus víctimas. Estos delincuentes esperan que el usuario utilice la misma información de inicio de sesión para varias cuentas.
El procedimiento generalmente se automatiza mediante el uso de robots que llenan los campos de inicio de sesión de varios sitios web con credenciales. Si el inicio de sesión es exitoso, esto se llama una cuenta de toma de control. Las consecuencias de una cuenta hackeada van desde el robo de datos confidenciales hasta las transacciones financieras y las compras fraudulentas.
El credential stuffing amenaza a las tiendas en línea
Un estudio ha revelado que en ninguna otra industria existen intentos tan frecuentes de robar credenciales como en el comercio electrónico. El 91% del tráfico de inicio de sesión mundial en las tiendas en línea ahora lo generan los ciberdelincuentes o robots conectados a ellos. El segundo y tercer lugar lo ocupan la aviación (60%) y el sector bancario (58%).
Es fácil decir por qué los ciberdelincuentes se centran en este sector: el potencial del comercio electrónico es muy alto. Una gran cantidad de datos confidenciales, como información de pago y direcciones, están ocultos en las cuentas de usuarios. Los ciberdelincuentes después de una toma de control de cuenta también pueden realizar compras para, por ejemplo, revender los bienes obtenidos. El credential stuffing se puede utilizar, en principio, en todos los sitios con la posibilidad de iniciar sesión.
¿Cómo puedes protegerte contra el robo de credenciales informáticas?
Es posible protegerse del credential stuffing. Desafortunadamente, no todos saben cuáles son las mejores tecnologías y soluciones para lograrlo.
Autenticación de dos factores contra el credential stuffing
Afortunadamente, la autenticación de dos factores es una medida preventiva con la que incluso la tienda en línea más pequeña puede frenar profesionalmente el peligro de robo de credenciales de inicio de sesión. Con la autenticación de dos factores, el inicio de sesión se produce no solo con la contraseña de inicio de sesión típica, sino que se requiere un segundo factor de autenticación (respuesta a una pregunta, código enviado en un segundo dispositivo, datos biométricos del usuario) que hacen que todo sea mucho más seguro. Quien quiera acceder a dicha cuenta no solo necesitará saber la contraseña, sino que también tener acceso al teléfono inteligente correspondiente, por ejemplo, en el que se envía un código para completar la operación de inicio de sesión.
La prevención es la mitad del trabajo
Es mejor prevenir que lamentar: aquellos que hacen un buen trabajo preliminar, en el mejor de los casos, evitan que les roben sus credenciales, lo que elimina el peligro de que se las roben. Explotar el cifrado mediante certificados SSL y establecer políticas de contraseñas seguras es un buen ejemplo.
Cifrado SSL
Con el cifrado SSL no hay forma de evitar las tiendas en línea (ni los sitios web en general). Con la ayuda de los certificados SSL, es posible garantizar que ninguna persona no autorizada tenga acceso a leer el flujo de datos entre la tienda en línea y el cliente. También se evita el acceso a información sensible, como datos de acceso. Además, socios importantes del Internet como Google o Trusted Shops castigan a los sitios que no usan certificados SSL al etiquetarlos de “inseguros” o al no mostrar el sello de seguridad. Al comprar un certificado SSL, puedes elegir tres niveles de cifrado: Validación de dominio (DV), Validación de la organización (OV) o Validación extendida (EV). Los certificados EV, reconocibles en la barra de direcciones por un símbolo de candado verde y el nombre de la empresa, ofrecen la máxima protección.
Contraseñas seguras
Las contraseñas como hola, 12345 o qwertz son demasiado simples. La elección de la contraseña recae naturalmente en el usuario, sin embargo, con las instrucciones correctas durante el proceso de registro, se puede hacer para que el usuario cree una contraseña que tenga una mayor protección. Los expertos aconsejan, por ejemplo, utilizar letras mayúsculas y minúsculas, caracteres especiales y números. Su consejo también es crear contraseñas con una longitud mínima de 8-12 caracteres. En este sentido, lea cómo crear una contraseña verdaderamente segura.
El tema del credential stuffing es importante no solo en el comercio electrónico, sino en todo el mundo cibernético. La autenticación de dos factores y las precauciones de seguridad son importantes en cualquier sitio que proporcione un acceso de inicio de sesión.
¡No te detengas aquí! Te puede interesar leer
Estos son los ataques cibernéticos más comunes entre las empresas
Cifrado de correo electrónico: esencial para la seguridad