El sector minorista ha experimentado un cambio sísmico en los últimos años, propiciado por la pandemia del COVID-19 e impulsado por la rápida digitalización de las organizaciones en otros sectores. La adaptación de sus negocios a los modelos de comercio electrónico fue una tabla de salvación para muchos comerciantes, pero también tuvo un costo: cuanto más amplia es la superficie de ataque, mayor es la vulnerabilidad. El comercio minorista es uno de los sectores más apetecibles para los ciberdelincuentes, y cuenta con bases de datos cada vez más repletas de información confidencial de los clientes, como datos de tarjetas de crédito e información personal identificable (IPI).

Ninguna época del año es más precaria para las empresas minoristas que la temporada navideña, que se extiende desde el cuarto hasta el quinto trimestre (enero), ya que los intentos de ataques de ransomware aumentan un 70% en noviembre y diciembre. Mientras los consumidores pulsan “Comprar ahora” en una avalancha de sitios web y deslizan sus tarjetas o utilizan sus teléfonos para pagar en tiendas físicas, los ciberdelincuentes, también conocidos como actores de amenazas, se ponen en marcha. Sin embargo, lo cierto es que el calendario del comercio minorista nunca se detiene, y la seguridad debe ser ahora una prioridad para estas empresas los 365 días del año.

El panorama minorista posterior al COVID

Aunque en abril de 2020 el comercio electrónico alcanzó un máximo histórico de casi el 19% de las ventas minoristas, su cuota se ha estabilizado desde entonces en el 15%. Pese a ser inferior a su máximo, este nivel sigue estando significativamente por encima de las cifras anteriores a la pandemia, lo que sugiere una tendencia a largo plazo de aumento de las compras por Internet. En el mundo pospandémico, los minoristas han creado un entorno en el que el comercio electrónico y las compras en establecimientos funcionan conjuntamente, produciendo un “efecto halo” en el que la apertura de una nueva tienda física impulsa el tráfico online en torno a un 37%.

Además, si siguen ofreciendo un popular servicio pandémico como comprar online y recoger en tienda (BOPIS), los minoristas pueden aumentar sus beneficios, ya que más del 60% de las personas que utilizan el servicio realizan compras adicionales cuando llegan a la tienda.

Por qué los minoristas son un objetivo atractivo

Para maximizar la experiencia omnicanal y aprovechar todas sus ventajas, los minoristas han tenido que ampliar sus entornos informáticos para incorporar numerosos sistemas, fuentes de datos y dispositivos IoT. Al mismo tiempo, los sitios web, las aplicaciones móviles, los sistemas de punto de venta (TPV) y las pasarelas de pago presentan vulnerabilidades. Una mayor dependencia de proveedores externos para el procesamiento de pagos, la logística y el marketing introduce aún más riesgos de seguridad. Estas razones bastan por sí solas para tentar a los hackers, pero no son ni mucho menos los únicos factores.

Los limitados recursos de ciberseguridad son un problema de todo el sector. Al examinar los presupuestos destinados a las tecnologías de la información en ocho grandes sectores, una encuesta de IANS y Artico Search sobre remuneración y presupuestos determinó que, en promedio, el 11,6% se asignaba a las necesidades de seguridad. Mientras que los equipos de seguridad del sector tecnológico disponían de casi el 20% del presupuesto, los del comercio minorista sólo recibían el 7,2%. Esta falta de recursos dificulta la aplicación de medidas de seguridad robustas y la respuesta eficaz a los ataques.

Más transacciones equivalen a más datos. Los comercios minoristas procesan un gran número de transacciones cada día. Solo en Estados Unidos, en 2022 se produjeron una media de 1.739 transacciones por segundo, lo que supone un total de 150,15 millones de transacciones diarias. Cada transacción recoge múltiples datos sensibles de los clientes que deben protegerse por ley, como nombres, domicilios, direcciones de correo electrónico e información de tarjetas de crédito, que los ciberdelincuentes pueden retener para pedir rescates, filtrar en la dark web o utilizar para otros actos delictivos.

Principales amenazas en el sector minorista

Los comercios minoristas se enfrentan a un sinfín de amenazas de ciberseguridad y, a medida que avanza la tecnología, también lo hacen las tácticas de los hackers que tratan de aprovechar las vulnerabilidades para obtener beneficios económicos (la motivación que subyace en el 98% de los ataques contra organizaciones minoristas). Entre las amenazas más destacadas a la ciberseguridad del comercio minorista se encuentran:

Fraude: Los actores de amenazas pueden cometer todo tipo de fraudes utilizando información robada de tarjetas de crédito. Solo el fraude con tarjetas “no presentes” costó a los minoristas casi 6.000 millones de dólares en 2022. Los hackers pueden utilizar los datos robados para el robo de identidad, para solicitar fraudulentamente nuevas tarjetas de crédito o para abrir nuevas cuentas de fidelización. Las generosas políticas de devolución de los comercios minoristas también han provocado un aumento del fraude en las devoluciones.

Ransomware: Los sectores minorista y mayorista fueron los terceros más afectados por los ataques de ransomware. A pesar de figurar continuamente entre los principales sectores atacados, pocos minoristas pueden hacer frente adecuadamente a un ataque, ya que más del 70% de las víctimas afirman que los hackers consiguieron cifrar sus datos. Estos ataques paralizan las empresas: sólo el 9% consiguen recuperarse en un día, mientras que el 21% tardan más de un mes.

Vulnerabilidades en los TPV: Los hackers pueden instalar skimmers para capturar datos de tarjetas de crédito o instalar malware en un sistema de punto de venta con el fin de robar datos y obtener acceso remoto a los sistemas. Además de ser vulnerables a los barridos de memoria, los actores de amenazas pueden utilizar herramientas de análisis de red para capturar los datos que se transmiten entre el TPV y otros dispositivos.

Riesgos para la cadena de suministro: Los riesgos para la cadena de suministro de los minoristas se derivan de la existencia de una extensa red de proveedores y socios. Los delincuentes pueden aprovechar los puntos débiles de cualquier punto de la cadena para obtener acceso no autorizado y poner en peligro los sistemas del minorista, lo que puede provocar filtraciones de datos e interrupciones en la actividad.

El costo de las brechas para los minoristas

El informe anual de IBM Security sobre el costo de las brechas de datos presenta un panorama desolador. En los últimos tres años, el costo medio mundial de las brechas de datos ha aumentado un 15%, hasta alcanzar los 4,45 millones de dólares. En el sector de bienes de consumo, las brechas costaron una media de 3,8 millones de dólares y los minoristas gastaron una media de 2,96 millones de dólares. Más allá del impacto económico, las empresas pueden enfrentarse a repercusiones legales y daños a su reputación, por no hablar de los días, semanas o meses de interrupción en su actividad.

El crecimiento hace esencial la ciberseguridad para el sector minorista

El comercio minorista se enfrenta actualmente a un arma de doble filo: el crecimiento acelerado y las oportunidades de negocio crean una superficie de ataque cada vez mayor y un número exponencialmente mayor de vulnerabilidades. El creciente panorama de amenazas exige una estrategia integral de ciberseguridad. Aplicar un enfoque de seguridad por capas que incluya cortafuegos, sistemas de detección de intrusiones, controles de acceso estrictos y cifrado de datos es crucial, pero no es suficiente. El control y la vigilancia constantes son esenciales para identificar y neutralizar las amenazas antes de que puedan causar daños importantes.

Aquí es donde entran en juego las soluciones de detección y respuesta gestionadas (MDR). Los servicios MDR ofrecen una vigilancia 24/7 respaldada por un equipo de expertos en ciberseguridad que buscan activamente las amenazas, analizan las actividades sospechosas y responden a los incidentes con rapidez y eficacia. Al externalizar las necesidades en materia de seguridad, los minoristas pueden estar tranquilos y centrarse en lo que mejor saben hacer: atender a sus clientes e impulsar el éxito de su negocio.

En los próximos años, las amenazas contra el sector minorista serán cada vez más sofisticadas. Adoptar un enfoque proactivo de la seguridad e invertir ahora en las soluciones adecuadas es la única opción para los minoristas que aspiren a prosperar en el futuro.