Defensa del lado del cliente: La pieza que falta en tu armadura de seguridad para las fiestas

La temporada de compras navideñas en línea ya está en plena marcha y los minoristas de comercio electrónico anticipan un sólido gasto de los consumidores: Deloitte proyecta que las ventas de comercio electrónico crecerán entre un 12,8% y un 14,3% , año tras año, durante la temporada navideña 2022-2023, alcanzando ventas totales de entre 260.000 millones y 264.000 millones de dólares, según un informe de Retail Info Systems .

Esa es una gran cantidad de actividad en sus aplicaciones de comercio electrónico, y no toda provendrá de felices fiestas revisando sus listas de compras.

Esta es también la época del año en que los actores de ciberamenazas intensifican sus actividades, buscando aprovechar el aumento de las compras navideñas en línea.

Próximamente en un navegador cerca de usted: Ciberamenazas del lado del cliente

Los ataques a la seguridad del lado del cliente se han vuelto tan generalizados y peligrosos que OWASP ha compilado una nueva lista de las 10 principales amenazas a la seguridad basadas en navegador . Estos incluyen muchas vulnerabilidades del lado del cliente que amenazan a los sitios de comercio electrónico durante esta temporada navideña, como formjacking, digital skimming, Magecart y otras vulnerabilidades de JavaScript basadas en navegador introducidas por la dependencia de fuentes de JavaScript de terceros.

Para mejorar la experiencia del cliente, los sitios web de comercio electrónico dinámicos incorporan código de terceros en sus aplicaciones para habilitar funciones comunes, como formularios de pago, chatbots, publicidad, botones para compartir en redes sociales y scripts de seguimiento. Estas características de JavaScript brindan una funcionalidad lista para usar, aceleran el tiempo de comercialización y liberan recursos de desarrollo, pero también generan “código sombra”: código que usted no escribió, no puede controlar, cambia sin su conocimiento y no pasa por las revisiones de seguridad de su organización. Sin visibilidad del código que se ejecuta en su entorno, las empresas no pueden detectar cuándo el código ha cambiado o se ha visto comprometido. Estos scripts brindan a los actores de amenazas una amplia superficie de ataque para explotar, lo que permite que los incidentes de seguridad ocurran directamente en el navegador del cliente sin que el usuario o el comerciante se den cuenta.

Tipos de ataques del lado del cliente

Los ataques del lado del cliente se lanzan para interceptar y manipular las sesiones de los usuarios, con la intención de tomar el control y desfigurar sitios web, realizar ataques de phishing, presentar contenido falso, crear nuevos formularios, secuestrar formularios legítimos solicitando al usuario que proporcione su número de seguro social o información de cuenta bancaria, o apoderarse de la cuenta del usuario. Los datos capturados generalmente se filtran al servidor de comando y control del atacante.

Existen varios tipos de ataques del lado del cliente destinados a explotar archivos JavaScript de terceros.

Los ataques de Magecart son probablemente los más conocidos. Magecart es un término más amplio para una variedad de ataques a la cadena de suministro de software, incluidos el formjacking y el skimming digital, también llamado e-skimming, que roban datos personales (más comúnmente detalles de clientes e información de tarjetas de crédito) de formularios de pago web en línea. Según el Informe de protección de aplicação 2022 de F5 Labs: En previsión de exfiltración , los ataques de formjacking constituyeron la mayor parte de las vulnerabilidades web que llevaron a la divulgación de infracciones.

Los delincuentes generalmente aprovechan los datos de clientes capturados para llevar a cabo actos maliciosos, como robo de identidad o apropiación de cuentas, o muy a menudo simplemente para recolectar la información para empaquetarla y venderla como volcados de datos en la Dark Web.

Mejores prácticas para prevenir ataques del lado del cliente

Los ataques del lado del cliente seguirán siendo un desafío para las organizaciones en línea mientras los delincuentes puedan incorporar códigos maliciosos en aplicações web, y estas vulnerabilidades pueden ser particularmente dañinas durante las vacaciones, cuando tanto los compradores como sus equipos de ciberseguridad ya tienen muchas otras preocupaciones en las que centrarse. Teniendo en cuenta que pocas empresas son conscientes de este tipo de ataques y que pocas han establecido métodos de defensa adecuados para detectar y frustrar estas vulnerabilidades, los atacantes seguirán teniendo éxito.

Sin embargo, aquí hay algunas prácticas recomendadas que puede implementar para ayudar a mitigar el riesgo del lado del cliente:

• Realizar una auditoría de inventario de guiones. Realice un inventario de todos los scripts integrados en su sitio, identifique quién los posee y los autoriza, para qué se utilizan y cómo se mantienen. Esto incluye scripts agregados directamente al HTML de las páginas, así como scripts agregados a través de administradores de etiquetas. Sepa qué hace el código de terceros que está implementando y si accede a datos confidenciales o realiza funciones críticas. Las organizaciones no solo necesitan visibilidad del JavaScript en su sitio, sino que también necesitan saber qué recopilan los scripts para evitar violar las regulaciones de privacidad de datos como el GDPR de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA) y garantizar el cumplimiento de los próximos requisitos PCI DSS 6.4.3 y 11.
• Establecer un marco de gestión de riesgos de terceros. Establecer una estructura de gobernanza para agregar, supervisar y mantener scripts para garantizar la integridad de cada uno. Cree un proceso que le permita identificar cuándo una solicitud de PII u otra información confidencial implica el envío de datos a un nuevo dominio.
• Aplicar confianza cero . Adopte un enfoque de confianza cero para todos los scripts de su sitio. Nunca concedas una confianza absoluta a nadie. Establecer la capacidad de monitorear, detectar y alertar cuando se agrega un nuevo script o se modifica un script existente. Las técnicas de detección, como Sub-Resource Integrity (SRI) y Content Security Policy (CSP), aún tienen valor, pero ya no son suficientes para proteger las aplicações web actuales, que cambian constantemente. Las organizaciones que aplicaron confianza cero obtuvieron costos un 20,5 % menores por una filtración de datos que aquellas que no utilizaron confianza cero.
• Establecer una estrategia de mitigación rápida. Explore la creación de un proceso de mitigación simple con un solo clic que le permita revisar los cambios de script y las alertas en un panel interactivo con una herramienta que brinda mitigación con un solo clic para bloquear llamadas de red que exfiltran datos de manera maliciosa.

Conclusión: No pase por alto la amenaza de los ataques del lado del cliente durante esta temporada navideña

Cuando los clientes inician sesión en sus cuentas en su sitio web de comercio electrónico durante las vacaciones, le confían sus datos personales sensibles. Tome las medidas necesarias para garantizar que los scripts de terceros que se ejecutan en su entorno de comercio electrónico no causen daños.

Proteja su empresa y a sus clientes de los ataques de JavaScript del lado del cliente con F5 Distributed Cloud Client-Side Defense , una solución de monitoreo y mitigación que protege las credenciales de los clientes, los detalles financieros y la información personal contra Magecart, formjacking y otros ataques a la cadena de suministro del lado del cliente. Este servicio basado en SaaS es rápido y fácil de implementar, proporciona valor inmediato, mantiene los datos personales y financieros de sus clientes fuera del alcance de los delincuentes y protege contra la pérdida de datos que podría socavar la confianza del consumidor.

Obtenga más información mirando el video Cómo los comerciantes pueden defenderse contra los ataques de Magecart y sintonizando esta demostración de F5 Distributed Cloud Client-Side Defense .

No permita que fuentes de JavaScript comprometidas arruinen las vacaciones para su empresa y sus clientes.