Buscar
Cerrar este cuadro de búsqueda.

Así pueden hackear tu tienda online

Si algo tienen los hackers es que son una comunidad activa, que busca continuamente nuevas formas de lucrarse. Aunque no siempre es el dinero lo que buscan. Según ‘The 2020 Hacker Report’ de HackerOne la principal motivación detrás de un ataque informático es el propio desafío que supone (68%).

Evidentemente hacer dinero es una razón poderosa (53%), para aprender trucos y técnicas (51%), para divertirse (49%), para crecer en sus carreras (44%), por protección y defensa (29%), para hacer el bien en el mundo (27%), para ayudar a otros (25%) y, finalmente, para lucirse (8%).

Uno de los ataques más sencillos y que más está creciendo en los últimos tiempos son los ataques a las tiendas online, especialmente en estas épocas del año tan importantes para un retailer donde se juega buena parte del año. Los hackers lo saben y por eso se muestran más activos en estos meses.

Los 10 principales ataques a tiendas online

Existen multitud de ataques a tiendas online con diferente grado de gravedad y soluciones distintas. Aquí os enumeramos los 10 principales.

Ataques SQL

Consiste en la inserción de código SQL por medio de los datos de entrada desde la parte del usuario hacia la aplicación, como un formulario de login en una página web. Mediante la inserción de un código SQL el atacante podría llegar a entrar en nuestra base de datos y ejecutar cambios, robar información o borrar datos almacenados.

Una de las opciones que podemos utilizar para realizar un análisis de nuestro código es el uso de herramientas que testen nuestras aplicaciones en busca de vulnerabilidades por inyección SQL. Algunas de estas herramientas son SQLiHelper 2.7 SQL Injection, Pangolin o SQLMap.

Ahora bien, algunos consejos para evitar que nos inyecten este código malicioso serían:

  • Escapar los caracteres especiales utilizados en las consultas SQL
  • Delimitar los valores de las consultas
  • Verificar siempre los datos que introduce el usuario
  • Asignar mínimos privilegios al usuario que conectará con la base de datos
  • Realizar una buena programación, poniendo en práctica las necesidades básicas y el interés para desarrollar una aplicación totalmente segura.

Secuencia de comandos en varios sites

Este tipo de vulnerabilidad ocurre cuando nuestro ecommerce ejecuta un envío de información suministrada por el usuario a cualquier navegador web sin antes validarlo. Los atacantes aprovechan esta situación para secuestrar nuestra web y redirigir todo el tráfico a otros sitios de descarga de malware.

Como solución hay que validar cualquier dato que se pueda mostrar en la web para evitar que esto ocurra.

Cross-site scripting

Un ataque de este tipo consigue engañar a los visitantes que no conocen nuestra web para que lleguen a enviar solicitudes HTTP falsas a través de imágenes. En el momento que el usuario llegue a iniciar sesión, el ataque se realizará con éxito, para ello debemos de tener un control del flujo de todos los procesos que se estén ejecutando, con el uso de tokens únicos por cada sesión y por cada una de las solicitudes.

Autenticación rota

Se puede llegar a suplantar la identidad de cualquier usuario obteniendo sus datos confidenciales si no se llega a proteger las credenciales de las cuentas o los identificadores de las sesiones. Con tan solo modificar la id de la sesión en las cookies es posible obtener un acceso como administrador del sistema.

Para poder evitarlo es necesario que verifiquemos los procesos de autenticación y que no guardemos la información sobre los permisos o identidades de las cookies en un mismo lugar.

Referencias en objetos inseguras

Esto puede ocurrir cuando un usuario no está autorizado para ver un contenido en particular de la web y este no está verificado. Con ello se exponen las referencias a los objetos internos, como puedan ser los archivos, bases de datos o directorios, los cuales pueden ser manipulados. Si por ejemplo, usas un script de descarga que recibe un nombre de archivo, éste se puede utilizar para obtener un documento de configuración con la clave de la base de datos.

Por eso es recomendable usar siempre los controles de acceso y nunca mostrar datos relacionados con la implementación interna.

Errores en las restricciones de acceso a la URL

Si dispones de una tienda online que no cuente con una validación de HTTPS, esto puede resultar en el acceso a áreas restringidas mediante la manipulación de la URL, otorgando permisos administrativos al atacante. Además, tener una página la cual se encuentre como centro de control en admin.php sin validar su acceso, puede resultar en este tipo de hackeo.

Se recomienda por lo tanto validar todas las páginas o controladores y el uso también de métodos de autentificación.

Error en la configuración de seguridad

Este tipo de errores en la seguridad proporcionan a los hackers el acceso no autorizado a toda la información relativa al sistema. Mediante cuentas predeterminadas, páginas no autorizadas, directorios o archivos no protegidos conseguidos a través de una mala configuración.

Para poder solucionar este tipo de práctica, debemos tener definidos todos los elementos de seguridad y no usar los atributos que aparecen por defecto. Además, es recomendable mantener la tienda online totalmente actualizada, con los servidores y todas las librerías.

Inseguridad en el almacenamiento criptográfico

Un gran número de páginas web no hacen lo suficiente para proteger la información confidencial. Los números de las tarjetas de crédito en las tiendas online o las credenciales de inicio de sesión pueden estar expuestas. Con esta información se realizan los robos de identidad o fraudes.

Si un atacante llegara a tener acceso a esta información, podría acceder a todas las contraseñas e información sensible disponible, por ello hay que tener en cuenta siempre que debemos de encriptar todos los datos relacionados con nuestra base.

Redirecciones y envíos fallidos

Es posible que en tu ecommerce los usuarios sean redirigidos a otras páginas web no válidas en donde se encuentran sitios de phising o de descarga de malware. Como solución efectiva tenemos que llevar un control estable sobre los links que aparecen en la tienda online.

Protección escasa en la capa de transporte

Aunque parezca raro, todo el tráfico de internet puede ser de alguna manera escuchado. Al enviar constantemente información sensible como pueda ser, contraseñas, usuarios, tarjetas o documentos sin la autentificación adecuada y si el correcto cifrado, es posible acceder a los datos de manera fácil.

Por ello debemos de usar una encriptación y certificados como SSL y TSL para poder enviar los datos sensibles sin que puedan ser interceptados.

1 comentario en “Así pueden hackear tu tienda online”

  1. Hola, gran articulo muy interesante las medidas de ataque que compartes, muy util para tomar las acciones necesarias en este momento en que el comercio electroncio esta tomando mas demanda.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

ÚLTIMOS POSTS

ÚLTIMOS POSTS

PUEDE INTERESARTE

¿CONECTAMOS?

POSTS MÁS COMENTADOS

Scroll al inicio
Email:*
Nombre:*
Apellidos:*
Empresa:*
Cargo:
Sector:
Teléfono:
Dirección postal:

Rellenar si se quiere recibir la revista física.
Acepto recibir la newsletter y comunicaciones de Ecommerce News conforme a la Política de Privacidad:
Acepto recibir comunicaciones comerciales de terceros: