La pandemia de COVID-19 impulsó la transformación digital en el sector minorista de manera rápida e inesperada, lo que representó un desafío significativo para aquellos minoristas que no estaban preparados para el comercio electrónico. Erik Moreno, director de Ciberseguridad de Minsait, una compañía de Indra en México, señala la necesidad de proteger los datos del cliente, de cuidarse de amenazas de ciberseguridad como el ransomware y de la importancia de proteger las cadenas de suministro
Por mucho tiempo, la búsqueda por mejorar la experiencia de los clientes en el sector minorista había sido gradual. El foco había estado en sus tiendas físicas y estaba permeando hacia sus canales virtuales. Si bien el comercio electrónico figuraba en su agenda, no era un asunto apremiante.
Fue con la sorpresiva y rápida propagación de la pandemia de COVID-19 que inclinó la balanza hacia las compras en línea, detonando el crecimiento del comercio electrónico. Este nuevo escenario representó además un desafío significativo para los minoristas que no estaban preparados para subirse al barco de las compras en línea, ni mucho menos tenían una cadena logística preparada para llevar sus productos a los hogares de los consumidores.
La acelerada transformación digital que tuvieron que experimentar para integrar el comercio electrónico en su core de negocio los llevó también a tener una nueva perspectiva de la ciberseguridad. Fue una evolución necesaria y complicada al mismo tiempo, pues el sector retail tuvo que evolucionar de un día a otro, y amoldar sus estrategias de protección a nuevos riesgos y una superficie de ataque más amplia.
Protección de datos del cliente, prioridad
A medida que los minoristas siguen digitalizando y extendiendo su oferta omnicanal, los desafíos que enfrentan incluyen la protección que deben brindar a los datos que están recabando de sus clientes, y que hoy es una tarea preponderante en sus estrategias de ciberseguridad. Por tanto, la protección se está dirigiendo a la protección total de su información y, por añadidura, de su privacidad. Y más aún cuando ésta incluye datos transaccionales sensibles como números de tarjetas de crédito y débito, que son un jugoso botín para los ciberdelincuentes.
Han sido numerosos los casos de grandes minoristas de Estados Unidos que han sido blanco de ciberataques en los últimos años. Tal es el caso de la tienda departamental Target, cuyas redes fueron violadas para robar datos de cerca de 40 millones de tarjetas de crédito y débito, 70 millones de registros con datos personales de sus clientes; y de Home Depot que reportó un ciberataque en el que 56 millones de tarjetas únicas fueron comprometidas.
Por otro lado, el incremento en el uso de aplicaciones hospedadas en la nube, como sistemas ERP y CRM representaron una ventaja en su transformación digital, pero también elevó las preocupaciones en el tema de ciberseguridad, en particular por la exposición o la ampliación de la última frontera más allá del Edge.
De ahí que los retailers deban implementar seguridad más allá del perímetro y contemplar componentes como dispositivos móviles, aplicaciones móviles para compra en línea y la nube misma.
Eso implica establecer mecanismos para enfrentar una de las mayores amenazas: el ransomware, el cual impacta a las cadenas de suministro y, por ende, sus operaciones. Para detener este tipo de amenazas, y al malware en general, los minoristas necesitan combinar aspectos estratégicos y tecnológicos, que incluyen la capacitación de los colaboradores a fin de reducir al mínimo las posibilidades de que sean víctimas de un ataque de phishing, que abran archivos maliciosos o entren a sitios apócrifos.
Desde una perspectiva tecnológica, la ciberseguridad se fortalece con la adopción de herramientas como EDR (Endpoint Dectection and Response) y XDR (Extended Detection Response), que detectan y responden a comportamientos anómalos en el endpoint.
Si bien estas soluciones son efectivas, los responsables de la seguridad en estas organizaciones deben considerar que no son un reemplazo de los sistemas anvirivus ya que en conjunto son herramientas fundamentales para la protección de los activos de información de usuario final. El antivirus va a proteger los equipos a partir de reglas y firmas de malware conocido, y lo complementan el análisis y la detección de comportamientos anómalos de los EDR y XDR incorporando capacidades de respuesta y contención.
Aliados blindados
Otro reto importante para el sector minorista es proteger sus cadenas de suministro, las cuales integra a proveedores no sólo de tecnología de información (TI), sino también a quienes proveen servicios estratégicos, tácticos y operativos, como la distribución de productos, el aprovisionamiento de materiales, servicios administrativos y logísticos, entre muchos otros.
La dependencia de las cadenas de suministro obliga a protegerla y colaborar con sus eslabones para que cumplan con los controles de seguridad requeridos. No hay que olvidar que los atacantes no solamente tienen en la mira a los grandes retailers, sino también a estos aliados, muchos de ellos medianos y pequeños, quienes serán atacados para poder penetrar a las redes y burlar los controles de seguridad a fin de propagar malware.
Una respuesta a este desafío es que las empresas minoristas establezcan una estrategia colaborativa para sumar a todos sus aliados al cumplimiento de los controles de seguridad. Esto puede lograrse mediante un proceso de auditoría y revisión de dichos controles basados en el riesgo de cada proveedor, lo que optimiza el cumplimiento.
Un enfoque que puede contribuir de manera importante al reforzamiento de la seguridad es no abordarla desde una perspectiva de cumplimiento normativo o de estándares, sino más integral de modo que amplíe la protección y la colaboración entre los proveedores y las grandes cadenas de retailers.
Seguridad a prueba
Finalmente, los minoristas requieren reforzar la seguridad alrededor de sus nuevos canales de comercio electrónico, ya sean aplicaciones móviles o portales, en los que estos jugadores no solamente comercializan sus productos, sino que están sumando los de otros vendedores que no cuentan con una plataforma para tal propósito, siguiendo el modelo que ha puesto en práctica los mercados digitales más representativos.
Es, por tanto, vital tener procedimientos claros para la incorporación de estos pequeños vendedores que podrían cometer fraudes o entregar productos de baja calidad, incluso piratas, lo que podría poner en riesgo la reputación del gran minorista. Desde el punto de vista de la ciberseguridad, se plantea la necesidad de realizar revisiones continuas de seguridad y hacer ejercicios de hackeo ético a las plataformas de venta en línea.
Asimismo, debe incrementarse la atención en el desarrollo de aplicaciones más seguras desde su concepción aplicando metodologías como Secure Software Development (SSD), así como la revisión de antecedentes de los proveedores para evitar posibles fraudes o transacciones anómalas.
De este modo, se logra mejorar considerablemente la postura de seguridad y la imagen del gran minorista, y posicionar a la ciberseguridad como un habilitador de las iniciativas de comercio electrónico y tradicional.
Sobre el autor
*Erik Moreno Sánchez es director de Ciberseguridad en Minsait, una compañía de Indra en México. Cuenta con +20 años de experiencia asesorando a organizaciones en decisiones estratégicas de seguridad, implementado mejoras operativas y tecnológicas en compañías tanto multinacionales de diversas industrias como: telecomunicaciones, energía, banca, TI, comercio electrónico y del sector gubernamental y experiencia en proyectos de seguridad nacional.
Fuente Comunicae