BLACKFRIDAY, que aquest divendres no sigui realment negre

El BlackFraday 2024 ja és aquí!  El 29 de novembre és la data fixada per a aquest dia, en la més pura tradició nord-americana, de la qual es farà ressò en l'anomenat Cyber Monday més centrat en les compres online. Segons un estudi de l'OCU, s'espera que fins al 76% dels usuaris estiguin interessats a comprar productes i serveis el famós “Divendres Negre”. La despesa mitjana per comprador oscil·larà entre els 200 i els 300 euros. El volum total de compres en aquest dia s'estima que superarà els 278 mil milions de dòlars a tot el món, la qual cosa dona una idea de la importància econòmica i social d'aquest fenomen.

Segons Rocket Digital, els minoristes espanyols es jugen fins a un 40% de la seva facturació anual el Black Friday 2024, percentatge que puja fins al 60% per a les marques que se centren completament en la venda online. És sens dubte una gran oportunitat de negoci per a multitud d'empreses i una potencial font d'estalvi per als consumidors a les portes d'un període tan representatiu com el Nadal.

El 68% dels negocis espanyols de comerç electrònic faran una inversió addicional en tecnologia el Black Friday, especialment en automatització (18%) i anàlisi de dades (18%), considerats crítics per facilitar la gestió eficient dels volums de comandes elevats, fer previsions i ajustar estratègies en temps real. 

L'augment exponencial de les transaccions en línia en un període de temps tan curt ha augmentat el risc de potencials ciberatacs i estafes, perquè el Black Friday pot ser efectivament un divendres molt negre per a molts consumidors i empreses si no prenen les mesures adequades des de la perspectiva de la seguretat de la informació i la gestió de la continuïtat dels seus serveis.

Sense anar més lluny, el novembre de 2023 es van produir a Espanya uns 45.000 ciberatacs, estimant que van generar pèrdues econòmiques de més de 20 milions d'euros. Fins ara al novembre de 2024 s'ha detectat un increment del 138% en el nombre de dominis registrats amb l'expressió Blackfriday, amb més de 6.400 dominis registrats, una xifra que pot resultar inquietant si entre ells hi ha llocs falsos amb intencions malicioses...

Però quins són els tipus d'amenaces als quals s'enfronten els consumidors en aquestes dates? Sense voler ser exhaustius, anem a enumerar-ne alguns.

• Phishing: Els ciberdelinqüents envien correus aparentment legítims que redirigeixen a llocs web falsos amb l'objectiu de robar dades personals. És molt habitual aquests dies rebre correus electrònics amb suposades ofertes comercials i atractius descomptes que ens indueixen a “fer clic” en enllaços maliciosos o descarregar continguts potencialment perillosos.

• Typosquatting: Es creen pàgines falses o aplicacions que imiten les reals, utilitzant lleus errors tipogràfics en els noms de les URL o aplicacions per enganyar l'usuari. Davant el “maremàgnum” de l'oferta comercial d'aquests dies i la “inquietud” per aconseguir l'article desitjat, és relativament fàcil caure en un “lloc web clonat” que imita perfectament el lloc de la nostra marca preferida.

• Malvertising: A través d'anuncis en línia, els atacants distribueixen programes maliciosos o redirigeixen a llocs fraudulents. De nou, la facilitat per “inundar” la nostra navegació amb publicitat de tot tipus ens pot portar a accedir a enllaços problemàtics.

• Smishing i Vishing: Aquestes variants de phishing operen a través de missatges de text falsos i trucades telefòniques, respectivament. Els atacants pretenen ser bancs o serveis de confiança per obtenir informació sensible. També és habitual que els delinqüents es facin passar per l'operador logístic que ens lliurarà el nostre producte i intenten obtenir informació bancària i/o dades personals. L'ús de la intel·ligència artificial per part dels atacants pot fer que les trucades telefòniques siguin molt creïbles i potser fins i tot emular amb èxit la veu dels coneguts per induir-nos a un perillós estat de confiança.

• SIM swapping, on els atacants dupliquen una targeta SIM per interceptar missatges d'autenticació en dos passos i accedir a comptes bancaris o aplicacions. A través d'aplicacions malicioses i anuncis al nostre telèfon intel·ligent, el cibercriminal aconsegueix descarregar programes en el nostre dispositiu que en efecte ens permeten tenir-ne el control.

• Aplicacions falses i fraus amb promocions Durant aquests dies, és habitual que els ciberdelinqüents llancin aplicacions que semblen ser de botigues de comerç electrònic legítimes, però que contenen malware. El frau amb promocions irresistibles, com ara cupons de descompte falsos i ofertes “flash”, dissenyats per atraure compradors impulsius, també és comú. L'ús de tècniques d'enginyeria social, juntament amb la sensació de l'exclusivitat de la compra i el poc temps que dura la promoció, fan que el comprador relaxi la seva atenció en relació a la verificació del lloc on interactua... i després de la compra, la comanda mai es rep.

I davant d'aquest escenari, què podem fer per protegir-nos? Citarem algunes recomanacions que poden millorar la nostra experiència de compra per fer-la més segura i fiable:

• Pot semblar molt evident, però desconfia de les ofertes massa bones!: verifica l'autenticitat del lloc web i intenta comprar només en llocs de bona reputació, evitant la compra compulsiva en llocs web d'origen dubtós. El primer pas és passar el cursor per sobre de l'URL i verificar que ens estem connectant a un lloc amb un certificat SSL vàlid. Cal observar que l'adreça URL comenci per “https://” o “shttp://”. La “S” indica que l'adreça web estava xifrada i protegida amb un certificat SSL. Aquest sistema, però, no és del tot infal·lible. S'ha detectat un augment significatiu en el nombre de llocs maliciosos que utilitzen certificats SSL. Convé consultar la política de privacitat del lloc web, utilitzar una eina de verificació de seguretat del lloc web com Google Safe Browsing o fer una cerca WHOIS per veure qui és propietari del lloc web. També presta atenció al final dels dominis als quals et connectes: potser el teu lloc preferit acaba amb l'extensió .es i t'estàs connectant a un domini amb el mateix nom, però acabant en .org, amb l'objectiu de capturar la teva informació personal. Tot per a la teva seguretat!

• Compte amb els correus electrònics de Phising, fingint ser minoristes de confiança. Assegura’t que no hi ha res anormal en l'adreça del remitent, que el domini sigui correcte, que l'assumpte del correu realment tingui a veure amb la compra, que no sigui un aparent “error d'enviament aleatori”. Tingues en compte que no és el funcionament normal de cap establiment recollir informació personal i bancària a través d'un correu electrònic o a través d'una trucada telefònica. Desconfia si detectes aquests intents d'obtenir la teva informació!

• Utilitza una targeta específica per a les compres en línia amb un funcionament segur mitjançant models d'autenticació de dos factors i limita la teva capacitat de compra diària. Tingues el costum de revisar els càrrecs d'aquesta targeta en aquests dies i més enllà per qualsevol quantitat injustificada.

• Evita utilitzar xarxes WIFI públiques per fer les compres. És habitual que a les grans botigues comercials i en molts establiments aquestes xarxes estiguin disponibles com a cortesia a l'usuari. No obstant això, no tenim cap garantia de com de segures són aquestes connexions; si ho has de fer, utilitza navegadors amb una VPN activada perquè la teva informació estigui protegida.

• Mantingues actualitzat el programari en tots els dispositius des dels quals fas la compra. Utilitza protecció antivirus en tots ells i limita les opcions dels navegadors per rastrejar la navegació per part de tercers.

• Compte amb les aplicacions falses: descarrega només aplicacions de l'APP Store d’Apple o la botiga de Google Play (Android)

• Utilitza contrasenyes fortes i úniques amb autenticació de dos factors. No hi ha res pitjor que “un secret que deixa de ser-ho”.

• Compte amb les estafes a les xarxes socials. Solen ser el punt de partida d'una redirecció a un lloc maliciós que ens enganya per executar una transacció no desitjada.

• Si us plau, abans d'accedir a un codi QR, assegura’t que la seva existència té sentit i que coincideix amb tot el que veus al teu voltant.  Aquest consell s'aplica tant a llocs web com a llocs físics. Assegura’t que no hagin estat posats allà per un tercer.

• Compte amb els “falsos assessors” que puguin acostar-te a un centre comercial o establiment per fer-te participar en programes de fidelització, descomptes d'última hora, etc.: presta atenció a la seva identificació i si realment pertany a l'establiment.

• Tingues molta cura amb l'ús de caixers en centres concorreguts. Assegura’t de no notar res estrany, cap dispositiu addicional o eliminat, o si hi ha marques d'adulteració en algun punt.

• Si no has fet una comanda, simplement no has de rebre-la. Alguns delinqüents simulen el lliurament d'una comanda al teu propi domicili sota l'excusa d'enviar un conegut i amb la finalitat d'obtenir la teva informació personal o dur a terme una estafa.

• ... i sobretot, SENTIT COMÚ, no abaixis la guàrdia: no existeix l'oferta increïble que ningú ha vist, no hi ha regals a cost zero i la mercaderia no s'esgotarà si trigues uns minuts més a verificar tota la informació de seguretat.

Però, què passa amb les pròpies empreses venedores, a què s'enfronten aquests dies?

Com hem esmentat al principi d'aquest article, BlackFriday representa una increïble oportunitat per als minoristes d'impulsar les seves vendes en la part final de l'any. No obstant això, representa un repte important per a ells en termes de seguretat de la informació i continuïtat del negoci. Els aspectes clau als quals cal prestar atenció són els següents:

• Disponibilitat i capacitat de processament. L'augment exponencial de les transaccions comportarà un consum important de capacitats de processament i emmagatzematge dels sistemes d'informació. Els gestors de TI haurien de prestar atenció a la “planificació de capacitats” de la seva arquitectura i disposar d'eines de reforç com solucions i infraestructures al núvol per reforçar el rendiment del sistema i habilitar mecanismes de contingència i creixement, si és necessari.

• Reforç de les capacitats de detecció contra ciberatacs. Els atacs de denegació de servei, el ransomware, els intents d'exfiltrar informació sensible de clients i transaccions augmentaran dràsticament. Les capacitats proporcionades per un SOC/CERT, l'ús de XDR i altres solucions de seguretat són vitals per a la supervivència del negoci. A més, el reforç de les capacitats humanes vinculades als serveis de seguretat és més que recomanable davant l'impacte d'un incident cibernètic disruptiu.

• Assegurament i verificació del cicle de vida del programari Assegura’t acuradament que els canvis en els sistemes de producció no introdueixin vulnerabilitats, errors de configuració, components maliciosos de tercers, ni API o ports de connexió habilitats innecessàriament. Especial atenció a la integració amb programari de tercers i amb les passarel·les de pagament necessàries, així com interfícies amb operadors logístics habilitades per a la distribució dels nostres productes. Tot un repte.

• La contractació d'assegurances cibernètiques pot ser una pràctica recomanada per fer front a possibles responsabilitats derivades d'un ciberatac.

• L'actualització i formació prèvia del Pla de Continuïtat Empresarial i Pla de Gestió de Crisis. Si tot va malament, l'empresa ha de tenir capacitats tècniques i humanes suficients per recuperar les seves operacions en el menor temps possible, minimitzant les pèrdues econòmiques i reputacionals. 

Gaudeix del teu Black Friday i que tinguis una bona caça!!!

Autor: Ángel García-Madrid Velázquez