Dar el paso digital en tu negocio es importante. Pero más primordial resulta hacerlo bien y con todos los protocolos de seguridad necesarios, para no comprometer la confidencialidad de tus clientes ni tu propia reputación.

El Instituto Nacional de Ciberseguridad (Incibe) acaba de publicar, para advertir de los peligros a los que te puedes enfrentar, el caso concreto de una autónoma que ha visto como unos ciberdelincuentes se aprovecharon de un simple fallo en su tienda online para estafar a sus clientes.

Todo comenzó con tratar de evitar el colapso de su web

Silvia, la autónoma que nos presenta Incibe, tiene un negocio textil. Debido al coronavirus, decidió dedicar toda su actividad a la producción y venta de mascarillas reutilizables. Viendo el éxito que estaba teniendo su propuesta, decidió hablar con Rodrigo, el profesional que se dedica al mantenimiento y programación de su página web. El objetivo de esta autónoma era que no se saturase su página web, ya que recibía en ella muchas visitas y pedidos al cabo del día.

El programador le advirtió de que los cambios los realizaría unos días más tarde, y de madrugada. Durante un instante, Silvia vio que su página no funcionó a medio día durante unos minutos. Pero estaba tranquila pensando que Rodrigo se encontraba realizando los cambios necesarios para su web. Cual fue su sorpresa cuando, unos días más tarde, los clientes comenzaron a contactar con ella por no haber recibido sus pedidos. Les habían estafado.

Los ciberdelincuentes pudieron acceder a todos los datos de los clientes

El problema fue un simple error de Rodrigo que instaló en la web de Silvia un plugin de un desarrollador que resultó estar corrupto, ya que no cumplía las medidas de seguridad necesarias. Este incluía una backdoor por el que los ciberdelincuentes podían acceder a su tienda.

De esta forma, todas las compras que se hicieron a partir de su entrada a la web de Silvia fueron a parar a ellos, en vez de a la autónoma. Así, pudieron hacerse no solo con el dinero, sino con todos los datos de los clientes (nombres, dirección, incluso los números de tarjeta y teléfono).

Este tipo de ataques se llaman ataques a la cadena de suministros y aprovechan la falta de controles de calidad y de auditorías de seguridad por parte de las empresas creadoras de estos plugins. Mediante este método consiguen, como en este caso, simular una plataforma de pago similar a la original y engañar a los clientes del negocio con una plataforma de pago distinta.

Por ello, resulta indispensable utilizar plugins, aplicaciones o programas que cumplan con todas las garantías para no comprometer los datos ni de los clientes ni de la propia compañía. Así, los ciberdelincuentes no podrán acceder a estas informaciones para su mal uso posterior o, incluso, venta de los mismos a otros hackers y estafadores.