¡El Black Friday 2024 ya está aquí!  El día 29 de noviembre es la fecha fijada para este día, en la más pura tradición norteamericana, que tendrá su eco en el llamado Cyber Monday más enfocado hacia las compras on line. Según un estudio de la OCU se prevé hasta un 76% de usuarios interesados en la adquisición de productos y servicios en el famoso «Viernes Negro». El gasto promedio por comprador oscilará en una horquilla entre 200 y 300 euros. El volumen total de compras en este día se estima que superará los 278.000 millones de dólares en todo el mundo, lo cual da idea de la importancia económica y social de este fenómeno.

Según Rocket Digital los comercios españoles se juegan hasta un 40% de su facturación anual en el Black Friday 2024, un porcentaje que sube hasta el 60% para las marcas que se enfocan completamente hacia la venta online. Es sin duda una gran oportunidad de negocio para multitud de empresas y una potencial fuente de ahorro para unos consumidores a las puertas de un periodo tan representativo como el navideño.

Un 68% de los comercios electrónicos españoles realizarán una inversión adicional en tecnología en Black Friday, especialmente en automatización (18%) y análisis de datos (18%), considerados críticos para facilitar la gestión eficiente del alto volumen de pedidos, realizar previsiones y ajustar estrategias en tiempo real. 

El aumento exponencial de transacciones online en tan corto periodo de tiempo ha incrementado el riesgo de potenciales ciberataques y estafas y es que el Black Friday, puede ser en efecto un viernes muy negro para muchos consumidores y empresas si no toman las medidas oportunas, desde una perspectiva de seguridad de la información y gestión de la continuidad de sus servicios.

Sin ir más lejos en el pasado noviembre del 2023 se produjeron en España la friolera de 45.000 ciberataques estimando que los mismos generaron unas perdidas económicas de más de 20 millones de euros. En lo que va de noviembre en 2024 se han detectado un aumento del 138% en el número de dominios registrados con la expresión Black Friday, contabilizándose más de 6.400 dominios registrados, una cifra que puede resultar inquietante si entre los mismos se encuentran falsos sites con intenciones maliciosas…

Pero, ¿cuáles son los tipos de amenazas a los que se enfrentan los consumidores en estas fechas?. Sin ánimo de ser exhaustivos, vamos a enumerar algunas de ellas.

• Phishing: Los ciberdelincuentes envían correos electrónicos aparentemente legítimos que redirigen a sitios web falsos con el objetivo de robar datos personales. Es muy usual estos días recibir correos con presuntas ofertas comerciales y descuentos atractivos que nos inducen a “clickar” sobre enlaces maliciosos y/o descargar contenido potencialmente peligroso.

• Typosquatting: Se crean páginas o aplicaciones falsas que imitan a las reales, utilizando ligeros errores tipográficos en los nombres de las URLs o aplicaciones para engañar al usuario. Ante el “maremágnum” de la oferta comercial estos días y la “inquietud” por conseguir el articulo deseado, es relativamente fácil caer en una “web clonada” que imita perfectamente el site de nuestra marca favorita.

• Malvertising: Mediante anuncios en línea, los atacantes distribuyen programas maliciosos o redirigen a sitios fraudulentos. Nuevamente la facilidad de “inundar” nuestra navegación con publicidad de todo tipo nos puede llevar a acceder a enlaces problemáticos.

• Smishing y vishing: Estas variantes del phishing operan a través de mensajes de texto y llamadas telefónicas falsas, respectivamente. Los atacantes simulan ser bancos o servicios de confianza para obtener información confidencial. También es usual el intento de los delincuentes de hacerse pasar por el operador logístico que nos entregará nuestro producto e intentar obtener información bancaria y/o datos personales. El uso de inteligencia artificial por parte de los atacantes puede hacer muy creíble las llamadas telefónicas y quizás incluso, emular de forma exitosa la voz de conocidos para inducirnos a un peligroso estado de confianza.

• SIM swapping, donde los atacantes duplican una tarjeta SIM para interceptar mensajes de autenticación de dos pasos y acceder a cuentas bancarias o aplicaciones. A través de aplicaciones y anuncios maliciosos en nuestro smartphone, el ciberdelincuente consigue descargar programas en nuestro dispositivo que permiten en efecto tener el control sobre el mismo.

• Aplicaciones falsas y fraudes con promociones. Durante estos días, es habitual que los ciberdelincuentes lancen aplicaciones que aparentan ser de tiendas ecommerce legítimas, pero que contienen malware. También son comunes los fraudes con promociones irresistibles, como cupones de descuento falsos y ofertas “flash”, diseñadas para atraer a los compradores impulsivos. La utilización de técnicas de ingeniería social, junto con la sensación de la exclusividad de la compra y el escaso tiempo de la vigencia de la promoción, hacen que el comprador relaje su atención con relación a la verificación del site donde interactúa…. y tras la compra jamás se recibe el pedido.

Y ante este panorama, ¿Qué podemos hacer para protegernos? Vamos a citar algunas recomendaciones que pueden mejorar nuestra experiencia de compra para hacerla más segura y confiable:

• Puede parecer muy obvio, pero ¡desconfíe de ofertas demasiado buenas!: verifique la autenticidad del sitio web y trate de comprar solo en sites de reconocida reputación evitando la compra compulsiva en webs de dudosa procedencia. El primer paso es posarse encima de la URL y comprobar que nos estamos conectando a un site con certificado SSL válido. Observemos que la dirección de la url comienza por "https://" o "shttp://". La "S" indica que la dirección web fue cifrada y protegida con un certificado SSL. Este sistema, no obstante, no es totalmente infalible. Se ha detectado un aumento significativo del número de sitios maliciosos que utilizan certificados SSL. Conviene comprobar la política de privacidad del sitio web, utilizar una herramienta de comprobación de seguridad de sitios web como Google Safe Browsing o hacer una búsqueda WHOIS para ver quién es el propietario de la web. Ponga atención también a la terminación de los dominios a los que se conecta: quizás su sitio favorito termine en la extensión .es y usted se está conectando a un domino con el mismo nombre, pero terminado en .org, con el objetivo de capturar su información personal. ¡Todo por su Seguridad!

• Cuidado con los correos electrónicos de phising, simulando ser minoristas de confianza. Asegúrese que no existe nada anómalo en la dirección del remitente, que el dominio es correcto, que el asunto del correo tiene que ver realmente con su compra, que no se trata de un aparente “error de envío fortuito”. Piense que no es la operativa normal de ningún establecimiento el recabar información personal y bancaria a través de un correo electrónico o mediante una llamada telefónica. ¡Desconfíe si detecta estos intentos de obtener su información!

• Use una tarjeta especifica para sus compras en línea con operativa segura a través de modelos de autenticación de doble factor y limite su capacidad de compra diaria. Adquiera el habito de revisar los cargos sobre esa tarjeta en estos días y sucesivos para detectar cualquier cantidad no justificada.

• Evite el uso de redes publicas WIFI para la realización de sus compras. Es habitual que en las grandes superficies comerciales y en muchos establecimientos estas redes estén disponibles como cortesía para el usuario. Sin embargo, no tenemos garantía de cuan seguras son estas conexiones. Si ha de hacerlo, use navegadores con VPN habilitada para que su información se encuentre protegida.

• Mantenga el software actualizado de todos los dispositivos desde los que realiza la compra. Utilice protección de antivirus en todos ellos y limite en los navegadores las opciones de trazabilidad de su navegación por parte de terceros.

• Cuidado con las aplicaciones falsas: solo descargue aplicaciones del APP Store de Apple o de la tienda de Google Play (Android)

• Utilice contraseñas fuertes y únicas con autenticación de doble factor. No hay nada peor que “un secreto que deja de serlo”.

• Cuidado con las estafas en las redes sociales. Suelen ser el punto de inicio de una redirección hacia un site malicioso que nos engañe para ejecutar una transacción indeseada.

• Por favor, antes de acceder a un código QR asegúrese que tiene sentido su existencia y que concuerda con todo lo que ve a su alrededor.  Este consejo es válido tanto para sites web como para sites físicos. Asegúrese de que no han sido puestos ahí por un tercero.

• Preste atención a “falsos asesores” que pueden acercarse a usted en un centro comercial o establecimiento para hacerle participe de programas de fidelización, descuentos de última hora, etc. Preste atención a su identificación y si realmente pertenecen al establecimiento.

• Mucho cuidado con el uso de cajeros automáticos en centros concurridos. Asegúrese de que no observa nada extraño, ningún dispositivo adicional o quitado o si existen marcas de manipulación en cualquier punto.

• Si usted no ha realizado un pedido, simplemente no tiene que recibirlo. Algunos delincuentes simulan la entrega de un pedido a su propio domicilio con la excusa del envío de un conocido y con la finalidad de obtener su información personal o de realizar una estafa.

• ….y sobre todo SENTIDO COMUN, no baje la guardia. No existe la oferta increíble que nadie ha visto, no hay regalos a coste 0 y no se van a agotar las mercancías si tarda unos minutos más en verificar toda la información que le dé seguridad. 

Pero y las propias empresas vendedoras ¿a qué se enfrentan estos días?

El Black Friday supone, como hemos comentado al inicio de este artículo, una oportunidad increíble para los comercios minoristas de potenciar sus ventas en el tramo final del ejercicio. No obstante, supone para ellas un reto importante en lo que a seguridad de la información y continuidad de negocio se refiere. Los aspectos clave a los que deberán prestar atención son los siguientes:

• Disponibilidad y capacidad de procesamiento. El incremento exponencial de las transacciones va a suponer un consumo importante de capacidades de procesamiento y almacenamiento de los sistemas de información. Los responsables de IT deberán prestar atención al “capacity planning” de su arquitectura y contar con medios de refuerzo como soluciones e infraestructuras en la nube (cloud) para reforzar el desempeño de los sistemas y habilitar mecanismos de contingencia y crecimiento llegado el caso.

• Refuerzo de las capacidades de detección frente a ciberataques. Ataques de denegación de servicio, ransomware, intentos de exfiltración de información sensible de clientes y de transacciones van a incrementarse de forma notable. La capacidades aportadas por un SOC/CERT, el uso de XDR y otras soluciones de seguridad son vitales para la supervivencia del negocio. De forma añadida, el refuerzo de las capacidades humanas ligadas a los servicios de seguridad son más que recomendables ante el impacto de un incidente cibernético de carácter disruptivo.

• Aseguramiento y verificación del ciclo de vida del software. Garantizar de forma cuidosa que los cambios en los sistemas productivos no introduzcan vulnerabilidades, fallos de configuración, componentes maliciosos de terceros y APIS o puertos de conexión habilitados de forma innecesaria. Especial atención a la integración con el software de terceros y con las necesarias pasarelas de pago, así como las interfaces con los operadores logísticos habilitados para la distribución de nuestros productos. Todo un reto.

• La contratación de ciberseguros, puede ser una práctica recomendable para hacer frente a posibles responsabilidades derivadas de un ciberataque.

• La actualización y entrenamiento previo del Plan de Continuidad de Negocio y Plan de Gestión de Crisis. Si todo va mal, la empresa debe contar con las capacidades técnicas y humanas suficientes para reponer su operativa en el menor tiempo posible, minimizando las perdidas económicas y reputacionales. 

!!!!Que disfrutes de tu Black Friday y buena caza!!!

Autor: Ángel García-Madrid Velázquez