Estás leyendo la publicación: Plataformas de comercio electrónico pirateadas: cómo proteger su negocio
La piratería y los ataques cibernéticos han sido la pesadilla de los sitios web desde la creación de Internet, y eso aún no ha cambiado. A medida que avanzan las medidas de seguridad, también lo hacen las estrategias de piratería. Cualquier sitio web que sea pirateado es una prueba seria, pero los riesgos son elevados en el caso del comercio electrónico debido a la gran cantidad de datos confidenciales que pueden ser violados y robados de las tiendas en línea.
Como comerciante, desea que su negocio sea lo más seguro posible y que la información de sus clientes esté a salvo de los malhechores. Desafortunadamente, mientras que muchas plataformas de comercio electrónico trabajan arduamente para mantener los sitios de sus comerciantes seguros y protegidos, algunas cosas pueden pasar desapercibidas si no se toman las medidas preventivas adecuadas.
Hoy, repasemos los detalles de algunos Plataformas de comercio electrónico pirateadas y cómo fueron pirateadas para empezar.
¿Cómo se piratean las plataformas de comercio electrónico?
No hay una sola respuesta a la pregunta de cómo se puede piratear una plataforma de comercio electrónico. Los hacks pueden tener una variedad de causas, que van desde errores humanos hasta inyecciones de código. Pero, antes de que pueda comprender cómo se pueden piratear las plataformas de comercio electrónico y las tiendas en línea, primero debemos analizar qué son los ataques, en qué se diferencian de los ataques y las violaciones de datos, y cómo las vulnerabilidades de seguridad web permiten que sucedan.
¿Qué es un Hack?
Un “hackeo” ocurre cuando un individuo no autorizado utiliza vulnerabilidades y explota en un sitio web para realizar sus actividades, que generalmente tienen intenciones maliciosas. Hay una lista aparentemente interminable de hacks que se pueden hacer en sitios web, así que revisaremos algunos de los más comunes con los que te puedes encontrar:
Inyección SQL
SQL, o lenguaje de consulta estructurado, es un lenguaje de código que se usa a menudo en las bases de datos de sitios web. En un ataque de inyección SQL, el pirata informático inserta declaraciones SQL maliciosas en la base de datos de back-end del sitio web. De esta forma, el hacker puede acceder a información que puede ser confidencial, incluidos nombres de usuario y contraseñas. Los piratas informáticos también pueden modificar datos en la base de datos, a menudo inyectando contenido malicioso en campos vulnerables. Las inyecciones de SQL se insertan con mayor frecuencia en las páginas de inicio de sesión para capturar los datos confidenciales que se ingresan.
Secuencias de comandos entre sitios (XSS)
Los hacks XSS apuntan a los usuarios de una aplicación mediante la inyección de código, generalmente JavaScript, en la salida de una aplicación web. Esto permitirá que el pirata informático manipule los scripts en el lado del cliente del sitio web, dándole la libertad de ejecutar el script de la forma que desee. Un hack XSS puede dar a los atacantes la capacidad de secuestrar sesiones de usuario, desfigurar sitios web e incluso redirigir a los usuarios a direcciones URL maliciosas.
Envenenamiento por galletas
Las cookies son pequeños archivos de texto que los sitios web crean para ser almacenados en la computadora de un usuario como una forma de reconocer al usuario en visitas repetidas y realizar un seguimiento de sus datos específicos. En un ataque de envenenamiento de cookies, los atacantes manipulan las cookies de sesión de un usuario para eludir la seguridad del sitio web y, en esencia, hacerse pasar por el usuario. Esto puede permitir que el pirata informático obtenga información no autorizada, acceda a cuentas de usuario o abra nuevas cuentas en un sitio web.
Desfiguración
La desfiguración del sitio web ocurre cuando un pirata informático obtiene acceso no autorizado a un sitio web y cambia la apariencia visual de la página web. Por lo general, este tipo de pirateo no trata de robar información confidencial y se considera un tipo de graffiti electrónico. Sin embargo, un hack de desfiguración puede tener un impacto negativo en su negocio y marca si lo ven sus usuarios y clientes.
¿Qué es una violación de datos?
Cuando un sitio web experimenta una violación de datos, esto significa que se accedió a información confidencial sin autorización. Esto generalmente incluye nombres de usuario, contraseñas, direcciones de correo electrónico y otros datos de identificación. En otros casos, las filtraciones de datos han filtrado información financiera, incluidas métricas de ventas y números de tarjetas de crédito. Hay varias razones por las que un sitio web puede experimentar una violación de datos, pero las más comunes son:
- Contraseñas débiles
- Descargas no autorizadas
- Vulnerabilidades del sistema explotadas
- Ataques de malware dirigidos
Las violaciones de datos han afectado a algunas de las corporaciones más grandes del mundo, y a menudo afectan a miles de millones de usuarios. Algunas de las violaciones de datos más notables incluyen Yahoo con 3 mil millones de víctimas, Facebook con 540 millones de víctimas, Marriott International con 500 millones de víctimas y Equifax con 143 millones de víctimas.
¿Qué son las vulnerabilidades de seguridad?
Una vulnerabilidad de seguridad se refiere a una debilidad en un sitio web o aplicación que podría conducir a la explotación por parte de un pirata informático o un mal actor. Hay muchos tipos diferentes de vulnerabilidades de seguridad, pero las más comunes son:
Autenticación rota y gestión de sesiones
Si hay una vulnerabilidad en la autenticación de un sitio web o en la gestión de sesiones, esto puede dar lugar a problemas de seguridad relacionados con el mantenimiento de la identidad de los usuarios. En el caso de una autenticación y administración de sesión rotas, los atacantes pueden secuestrar la sesión activa de un usuario y asumir su identidad usando sus credenciales de autenticación e identificadores de sesión desprotegidos (como cookies). Para evitar un ataque que use esta vulnerabilidad, asegúrese de que sus procedimientos de autenticación sean sólidos y funcionen correctamente para todos los usuarios.
Configuración incorrecta de seguridad
Si un sitio web no se ha mantenido o actualizado correctamente, es posible que los diferentes aspectos del sitio web no estén configurados correctamente para una seguridad total. Cuando un sitio web sufre una mala configuración de seguridad, los piratas informáticos pueden obtener acceso a datos privados o funciones a través de áreas debilitadas, lo que puede resultar en compromisos completos del sistema. Para resolver esta vulnerabilidad, asegúrese de que todos los elementos de su sitio estén actualizados y funcionen juntos para no dejar ningún agujero en el que puedan meterse los piratas informáticos.
Falsificación de solicitud entre sitios (CSRF)
Se puede explotar una vulnerabilidad CSRF engañando a un usuario para que envíe una solicitud maliciosa para ejecutar acciones no deseadas en el sitio web en el que ya está autenticado. Este tipo de pirateo generalmente requiere un esfuerzo adicional en la forma de ingeniería social, pero en última instancia puede resultar en que las víctimas transfieran fondos sin darse cuenta, cambien las direcciones de correo electrónico y más en interés del pirata informático. En este caso, la vulnerabilidad radica en el individuo engañado; la mejor manera de evitar esto sería capacitar adecuadamente a todos los empleados con acceso a su sitio web para enseñarles cómo detectar solicitudes maliciosas.
Carga de archivos arbitrarios
La vulnerabilidad de carga arbitraria de archivos se caracteriza por un tipo de archivo que no se verifica, filtra ni desinfecta cuando se carga en una aplicación web. Dado que los tipos de archivos no pasan por ningún tipo de supervisión, un atacante podría cargar un script de archivo malicioso y ejecutarlo en el sitio web. En este punto, un pirata informático puede ejecutar cualquier comando que desee, lo que lleva a un servidor totalmente comprometido. Para evitar esta vulnerabilidad, asegúrese de que su sitio web supervise todos los archivos que se cargan y rechace los tipos de archivos que podrían ser potencialmente dañinos. Además debe cuidar Monitoreo del servidor SQL.
¿Qué es un ataque?
Si bien la mayoría de los hacks pueden considerarse ataques, no todos los ataques son hacks. Un ataque cibernético implica que el atacante utiliza cualquier medio necesario para causar estragos en un sitio web, ya sea pirateando el sitio web usando vulnerabilidades o por otros medios. A menudo, un atacante puede ser un infiltrado que tiene acceso a su sitio web y usa su información para eliminar archivos necesarios, robar datos o interrumpir el negocio de cualquier manera.
La mayoría de los ataques que no son de piratería se pueden prevenir de dos maneras clave:
- Asegúrese de eliminar los derechos de administrador innecesarios en todas las aplicaciones y sistemas operativos. Si un empleado no necesita derechos de administrador, entonces no debería tenerlos; o bien, puede correr el riesgo de que un empleado descontento sabotee su negocio.
- Todos los cambios en directorios activos, sistemas de archivos, intercambios y MS SQL deben documentarse. Esto es para garantizar que cualquier cambio, que pueda ser destructivo, esté documentado y sea fácilmente rastreable.
Sin embargo, algunos ataques no son tan fáciles de prevenir. Uno de los ejemplos más famosos de un ataque cibernético que puede causar daños importantes es el ataque DDoS, que es la abreviatura de Distributed Denial of Service. Estos ataques derriban su sitio web al sobrecargar su dirección IP con mucho más tráfico del que está preparado para manejar. Esto hace que los usuarios legítimos de su sitio web no puedan acceder a él, lo que resulta en una pérdida de negocio. Al elegir la red de entrega de contenido (CDN) correcta, su sitio web estará mejor equipado para resistir un ataque DDoS malicioso.
Lista de plataformas de comercio electrónico pirateadas
1. Volusión
A principios de octubre de 2019, los piratas informáticos comprometieron el entorno de Google Cloud de Volusion. Una vez infiltrados, los piratas informáticos cargaron un código de skimmer malicioso en más de 6500 Volusion historias. Su plataforma fue infiltrada por Magecart, que es un grupo de piratas informáticos que también había atacado a British Airways, Newegg y Ticketmaster el año anterior. El hackeo de Volusion terminó robando información de pago de los sitios web de comerciantes de Volusion.
2. WordPress
Como plataforma de código abierto, no sorprende que WordPress es una víctima frecuente de hacks. En 2018, WordPress representó el 90% de todos los sitios web CMS (sistema de gestión de contenido) pirateados. La mayoría de los ataques que experimentan los sitios web de WordPress tenían que ver con vulnerabilidades de seguridad encontradas en complementos y temas (que se instalan por separado), problemas de configuración incorrecta y falta de mantenimiento y actualizaciones. Sin embargo, solo el 36% de los sitios de WordPress pirateados tenían una versión desactualizada, por lo que esta no fue la causa principal.
3. Prestashop
Desde 2013 y hasta 2020, los comerciantes con tiendas en prestashop han estado publicando en foros informando que sus sitios han sido pirateados. Más comúnmente, las tiendas de Prestashop están siendo pirateadas a través de vulnerabilidades de seguridad como:
- inyección SQL
- Escalada de privilegios
- Problemas de compatibilidad
- Ejecución remota de código
- Contraseñas débiles y permisos de directorio
- Cargas de archivos arbitrarios
- Exploits XSS y de día cero
- “CVE-2017-9841”, una vulnerabilidad en PHPUnit
Al igual que WordPress, Prestashop es un software de comercio electrónico de código abierto que el comerciante debe instalar y alojar. Debido a esto, es más vulnerable a los ataques que pueden aprovechar los módulos inseguros que los comerciantes instalan en sus sitios web.
4. Weebly
En febrero de 2016, Weebly experimentó una violación de datos que afectó a 43 millones de sus clientes. Weebly no se enteró de la violación de datos hasta 8 meses después, durante los cuales alertaron rápidamente a todos los comerciantes sobre la violación y les aconsejaron que cambiaran sus contraseñas. Los registros comprometidos contenían nombres de usuario, contraseñas, direcciones de correo electrónico e información de IP. Sin embargo, Weebly declaró que no tenían evidencia de que se haya accedido indebidamente a los sitios web de los clientes. Lo más probable es que los sitios creados con Weebly estuvieran protegidos contra el uso no autorizado debido a la forma en que se protegen las contraseñas en la plataforma, que es a través de un hash bcrypt con sal.
5. Magento
En marzo de 2019, Magento 2 tiendas fueron el objetivo de un intento de pirateo en el que los piratas informáticos explotaron una vulnerabilidad de inyección SQL en el CMS de Magento. A través de este exploit, los piratas informáticos obtuvieron acceso para apoderarse de sitios vulnerables y sin parches. La vulnerabilidad, denominada PRODSECBUG-2198, podría haberse utilizado para plantar skimmers de tarjetas de pago, que robarían la información de la tarjeta de crédito de cualquier cliente que realizara pagos en una tienda Magento 2 vulnerable. Afortunadamente, Magento ideó un parche que los comerciantes debían instalar para proteger sus sitios de este exploit. Nuevamente, Magento es una plataforma de comercio electrónico de código abierto, que es intrínsecamente más difícil de proteger que sus competidores SaaS.
6. Carrito abierto
Con fechas tan lejanas como 2012 y tan recientes como 2018, carro abierto los comerciantes han estado informando que sus paneles de administración han sido pirateados. Hay varias formas en que se explotan estos paneles de administración, que incluyen:
- IP desconocida inicia sesión en el panel de administración
- Múltiples cuentas de administrador desconocidas en el tablero
- Cientos de correos electrónicos no deseados enviados desde el servidor
- Redirecciones de spam creadas por archivos de servidor no autorizados
- Inyecciones de código malicioso
- Desfiguraciones de archivos de índice
- Tiendas en la lista negra de los motores de búsqueda
Ha habido varias razones registradas para que estos ataques ocurran en las tiendas OpenCart. Como la mayoría de los otros hacks, las inyecciones de SQL y los hacks de secuencias de comandos entre sitios son las vulnerabilidades más comunes. Los piratas informáticos también utilizaron la falsificación de solicitudes entre sitios, la ejecución remota de código y el compromiso de contraseñas (debido a contraseñas débiles) para obtener acceso a las tiendas de los comerciantes.
Lista de plataformas de comercio electrónico vulnerables
1. Wix
En octubre de 2016, se descubrió una falla de vulnerabilidad DOM XSS en Wix sitios web que podrían conducir a cuentas de administrador comprometidas. Usando esta vulnerabilidad de seguridad, los atacantes pudieron crear gusanos que podrían apoderarse de estas cuentas. Al agregar un comando de redirección a cualquier URL de un sitio de Wix y redirigir a los usuarios a un JavaScript malicioso alojado en otro lugar, los piratas informáticos podían asegurarse de que el script se cargara y ejecutara como parte del sitio de Wix. La vulnerabilidad también se encontró en las demostraciones de plantillas de Wix, que podrían usarse para obtener acceso a las cookies de la sesión de administración para colocar el DOM XSS en un iFrame, alojando contenido malicioso en el sitio de Wix.
2. Shopify
A pesar de Shopify es ampliamente considerada como una de las plataformas de comercio electrónico más seguras, incluso si experimentaron un lapso de seguridad. En octubre de 2019, se descubrió que el extremo de la API de su nueva aplicación Shopify Exchange tenía una falla de seguridad que podía explotarse para filtrar miles de datos de tráfico e ingresos de la tienda. Después de descubrir que la aplicación estaba filtrando los ingresos de dos tiendas, un investigador realizó más pruebas con un script y descubrió que 12 100 tiendas estaban expuestas, 8700 eran vulnerables y se esperaba que 3400 tuvieran sus datos públicos. Shopify actuó con rapidez y resolvió la fuga de datos en noviembre del mismo año.
3. WooCommerce
El popular complemento de comercio electrónico para WordPress se descubrió que tenía una vulnerabilidad de seguridad en abril de 2019 que tenía que ver con un complemento complementario: WooCommerce Checkout Manager. Este complemento estaba destinado a permitir que las tiendas WooCommerce personalizaran formularios en sus páginas de pago; esto fue utilizado por más de 60,000 tiendas. La vulnerabilidad de seguridad era una carga de archivos arbitraria, que era explotable si los sitios tenían habilitada la configuración “Categorizar archivos cargados”. Esta vulnerabilidad podría haber permitido a los piratas informáticos ejecutar código de script arbitrario en el servidor y comprometer el complemento, modificar datos u obtener acceso administrativo al sitio web.
4. Carrito abierto
OpenCart obtiene dos entradas en este artículo porque, además de los ataques, han descubierto una serie de vulnerabilidades con su plataforma. En orden cronológico de versiones de software, OpenCart ha experimentado:
- Inyecciones de SQL con la versión 1.3.2
- Inyecciones ciegas de SQL con la versión 1.5.1.2
- Inyecciones de SQL en ebay.php con la versión 1.5.6.1
- Ejecución remota de código desde las versiones 2.1.0.2 a 2.2.0.0
- Falsificación de solicitud entre sitios (CSRF) con la versión 2.3.0.2
Desde entonces, estas vulnerabilidades de seguridad se han resuelto al actualizar su software OpenCart a la última versión, que incluye parches para estas vulnerabilidades. Esto enfatiza la importancia de mantener actualizado su sitio web de comercio electrónico si está ejecutando en una plataforma de código abierto como OpenCart, WordPress, Magento o Prestashop.
5. PrestaShop
Al igual que con OpenCart, PrestaShop también merece dos entradas en este artículo debido a su larga historia de vulnerabilidades y ataques. Más recientemente, la compañía anunció el 9 de enero de 2020 que un bot de malware había explotado una vulnerabilidad en su herramienta PHP, lo que permitió a los piratas informáticos tomar el control de las tiendas de comercio electrónico.
Las versiones anteriores del software son particularmente inseguras. Por ejemplo, la versión 1.6 y versiones anteriores son vulnerables a las inyecciones de SQL de PrestaShop, que permiten a los piratas informáticos leer la base de datos de un sitio web. El personal no autorizado se ha otorgado privilegios de administrador y ha robado datos confidenciales mediante la manipulación de un error de cifrado en la versión 1.6.1.19. Otras vulnerabilidades se pueden encontrar en la sección anterior sobre PrestaShop, y la lista está solo en esa sección porque las personas con malas intenciones descubrieron esos problemas antes que los ingenieros de la plataforma.
Encontrar la plataforma más segura para su empresa
Es vital que mantenga la seguridad como una prioridad al elegir la plataforma de comercio electrónico adecuada para respaldar su negocio. Si ejecuta su tienda en línea en una plataforma insegura, sus datos y los datos de sus clientes podrían estar en riesgo. La seguridad del sitio web, como habrá notado a lo largo de este artículo, es mucho más difícil de mantener cuando ejecuta una tienda en línea en una plataforma de código abierto. Depende de usted, el comerciante, mantenerse constantemente al tanto de las nuevas vulnerabilidades de seguridad y las actualizaciones de software para que su tienda no sea pirateada.
Por otro lado, una plataforma de comercio electrónico SaaS alojada siempre se actualiza automáticamente sin que usted mueva un dedo. No es necesario instalar ningún software, por lo que no tiene que preocuparse por perder una actualización o una configuración incorrecta que pueda hacer que su tienda en línea sea vulnerable a los malos actores. Si está utilizando una plataforma de comercio electrónico como Shift4Shop, tendrá acceso a una cantidad sin precedentes de funciones integradas: no tendrá que preocuparse por descargar e instalar una gran cantidad de módulos y complementos potencialmente inseguros para obtener funciones básicas. .
Si su tienda en línea o plataforma de comercio electrónico ha sido pirateada, o si tiene alguna inquietud sobre la seguridad de la plataforma que está utilizando, no dude en dejar una respuesta y compartir su historia.