Ataques Cibernéticos Dirigidos a Aplicaciones de Comercio Electrónico

-

Los ataques cibernéticos a aplicaciones de comercio electrónico son una tendencia común en 2023. A medida que las empresas de comercio electrónico se vuelven más omnicanal, construyen y despliegan cada vez más interfaces de API. Los actores de amenazas están constantemente explorando más formas de explotar vulnerabilidades. Por eso es necesario realizar pruebas regulares y monitoreo continuo para proteger completamente las aplicaciones web, identificando debilidades para mitigarlas rápidamente.

En este artículo, discutiremos el reciente ataque a la plataforma de comercio electrónico de Honda, cómo ocurrió y su impacto en el negocio y sus clientes. Además, hablaremos sobre la importancia de las pruebas de seguridad de aplicaciones y las diferentes áreas y fases de las pruebas de vulnerabilidad.

Ataque a la Plataforma de Comercio Electrónico de Honda en 2023

La plataforma de comercio de equipos de energía, jardín y productos marinos de Honda contenía un defecto en la API que permitía a cualquiera solicitar un restablecimiento de contraseña para cualquier cuenta. La vulnerabilidad fue descubierta por el investigador Eaton Zveare, quien recientemente encontró un importante defecto de seguridad en el portal de proveedores de Toyota. Al restablecer la contraseña de cuentas de nivel superior, un actor de amenazas obtuvo acceso a datos de nivel administrativo en la red de la empresa sin restricciones. Si un ciberdelincuente lo hubiera descubierto, esto habría resultado en una violación de datos a gran escala con enormes ramificaciones.

Zveare dijo: "Los controles de acceso rotos o faltantes hicieron posible acceder a todos los datos en la plataforma, incluso cuando se inició sesión con una cuenta de prueba".

Esto permitió al evaluador acceder a la siguiente información:
- Casi 24,000 pedidos de clientes en todos los concesionarios de Honda desde agosto de 2016 hasta marzo de 2023; esto incluía el nombre, la dirección y el número de teléfono del cliente.
  • 1,091 sitios web de concesionarios activos con la capacidad de modificar estos sitios.
  • 3,588 usuarios/cuentas de concesionarios, incluidos detalles personales.
  • 11,034 correos electrónicos de clientes, incluidos nombres y apellidos.
  • 1,090 correos electrónicos de concesionarios.
  • Informes financieros internos de Honda.

Con la información anterior, los ciberdelincuentes podrían realizar una variedad de actividades, desde campañas de phishing hasta ataques de ingeniería social y venta de información ilegalmente en la web oscura. Con este nivel de acceso, también se podría instalar malware en los sitios web de los concesionarios para intentar robar tarjetas de crédito.

Cómo se Encontró la Vulnerabilidad

En la plataforma de comercio electrónico de Honda, los subdominios "powerdealer.honda.com" se asignan a concesionarios registrados. Zveare descubrió que la API de restablecimiento de contraseña en uno de los sitios de Honda, Power Equipment Tech Express (PETE), estaba procesando solicitudes de restablecimiento sin requerir la contraseña anterior.

Se encontró una dirección de correo electrónico válida a través de un video de YouTube que proporcionaba una demostración del panel de control del concesionario utilizando una cuenta de prueba. Una vez restablecidas, estas credenciales de inicio de sesión podrían usarse en cualquier portal de inicio de sesión de subdominio de comercio electrónico de Honda, proporcionando acceso a datos internos del concesionario.

A continuación, el evaluador necesitaba acceder a las cuentas de concesionarios reales sin riesgo de detección y sin necesidad de restablecer las contraseñas de cientos de cuentas. Para hacer esto, Zveare localizó un defecto de JavaScript en la plataforma, la asignación secuencial de ID de usuario y la falta de seguridad de acceso. De esta manera, se podían encontrar cuentas activas incrementando el ID de usuario en uno hasta que no hubiera más resultados.

Finalmente, se pudo acceder completamente al panel de administración de la plataforma modificando una respuesta HTTP para hacer que pareciera que la cuenta explotada era un administrador.

El 3 de abril de 2023, Honda informó que todos los errores habían sido corregidos después de que los hallazgos se informaron inicialmente el 16 de marzo de 2023. Eaton Zveare no recibió ninguna recompensa financiera por su trabajo, ya que la empresa no tiene un programa de recompensas por errores.

Importancia de las Pruebas de Seguridad de Aplicaciones de Comercio Electrónico

Las pruebas de seguridad de aplicaciones de comercio electrónico son esenciales para proteger la información personal y financiera de todos los vinculados a la aplicación, incluidos clientes, concesionarios y proveedores. La frecuencia de los ataques cibernéticos en aplicaciones de comercio electrónico es alta, lo que significa que se necesita una protección adecuada para evitar violaciones de datos que puedan dañar gravemente la reputación de una empresa y causar pérdidas financieras.

El cumplimiento normativo en el sector del comercio electrónico también es estricto, y la protección de datos se ha vuelto crítica para evitar sanciones financieras. Una aplicación requiere más que solo las últimas características de seguridad; cada componente debe ser probado y se deben seguir las mejores prácticas para desarrollar una estrategia de ciberseguridad sólida.

Amenazas Cibernéticas para Aplicaciones de Comercio Electrónico

- **Phishing:** El phishing es un tipo de ataque de ingeniería social que tiene como objetivo engañar a las víctimas para que hagan clic en un enlace a un sitio web o aplicación maliciosa. Esto se hace enviando un correo electrónico o mensaje de texto que parece haber sido enviado desde una fuente confiable, como un banco o colega de trabajo. Una vez en el sitio malicioso, los usuarios pueden ingresar datos como contraseñas o números de cuenta que serán registrados.
- **Malware/Ransomware:** Una vez infectado con malware, se pueden realizar una variedad de actividades en un sistema, como bloquear a las personas fuera de sus cuentas. Los ciberdelincuentes luego piden un pago para volver a otorgar acceso a cuentas y sistemas; esto se conoce como ransomware. Sin embargo, hay una variedad

 de malware que realiza diferentes acciones.
- **E-Skimming:** El e-skimming roba detalles de tarjetas de crédito y datos personales de las páginas de procesamiento de tarjetas de pago en sitios web de comercio electrónico. Esto se logra mediante ataques de phishing, ataques de fuerza bruta, XSS o quizás desde un sitio web de terceros comprometido.
- **Cross-Site Scripting (XSS):** XSS inyecta código malicioso en una página web para atacar a los usuarios web. Este código, generalmente Javascript, puede registrar la entrada del usuario o monitorear la actividad de la página para recopilar información sensible.
- **Inyección SQL:** Si una aplicación de comercio electrónico almacena datos en una base de datos SQL, entonces un ataque de inyección SQL puede introducir una consulta maliciosa que permite el acceso no autorizado al contenido de la base de datos si no está debidamente protegida. Además de poder ver datos, también puede ser posible manipularlos en algunos casos.

Diferentes Áreas de Pruebas de Vulnerabilidad

Existen típicamente 8 áreas críticas de pruebas de vulnerabilidad, y su metodología luego se puede dividir en 6 fases.

**8 Áreas de Pruebas de Vulnerabilidad**
1. Evaluación de vulnerabilidad basada en aplicaciones web
2. Evaluación de vulnerabilidad basada en API
3. Evaluación de vulnerabilidad basada en red
4. Evaluación de vulnerabilidad basada en host
5. Evaluación de vulnerabilidad física
6. Evaluación de vulnerabilidad de red inalámbrica
7. Evaluación de vulnerabilidad basada en la nube
8. Evaluación de vulnerabilidad de ingeniería social

**6 Fases de la Metodología de Evaluación de Vulnerabilidad**
1. Determinar activos críticos y de alto riesgo
2. Realizar una evaluación de vulnerabilidad
3. Realizar análisis de vulnerabilidad y evaluación de riesgos
4. Remediar cualquier vulnerabilidad, por ejemplo, aplicando parches de seguridad o corrigiendo problemas de configuración.
5. Evaluar cómo se puede mejorar el sistema para una seguridad óptima.
6. Informar los resultados de la evaluación y las acciones tomadas.

Pentesting como Servicio (PTaaS)

El Pentesting como Servicio (PTaaS) es una plataforma de entrega para pruebas de penetración regulares y rentables, al tiempo que mejora la colaboración entre los proveedores de pruebas y sus clientes. Esto permite a las empresas y organizaciones detectar vulnerabilidades con más frecuencia.

PTaaS vs. Pruebas de Penetración Tradicionales
Las pruebas de penetración tradicionales se realizan en base contractual y a menudo llevan mucho tiempo. Es por eso que este tipo de pruebas solo se pueden realizar una o dos veces al año. PTaaS, por otro lado, permite pruebas continuas, incluso tan a menudo como cada vez que se cambia el código. PTaaS realiza evaluaciones en tiempo real utilizando una combinación de herramientas de escaneo automatizadas y técnicas manuales. Esto proporciona un enfoque más continuo para las necesidades de seguridad y llena los vacíos que ocurren con las pruebas anuales.

Conclusión

Los ataques cibernéticos en sitios web de comercio electrónico ocurren con frecuencia, e incluso plataformas construidas por empresas globales como Honda han contenido vulnerabilidades críticas que se han descubierto en los últimos 12 meses.

Se requieren pruebas de seguridad para evaluar toda la superficie de ataque de una aplicación de comercio electrónico, protegiendo tanto al negocio como a sus usuarios de ataques cibernéticos como phishing o e-skimming.

Las pruebas de penetración como servicio son una de las mejores formas de proteger plataformas, realizando análisis regulares para proporcionar evaluaciones continuas de vulnerabilidad para que puedan mitigarse lo más pronto posible.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más