El Impacto de las Tendencias Digitales en la Ciberseguridad del Retail

El mundo del retail está experimentando una gran transformación a medida que se implementan nuevas e innovadoras ideas digitales. Sin embargo, a medida que esto sucede, los ciberdelincuentes y los hacktivistas también encuentran nuevas formas de robar datos personales y de tarjetas de pago o de dañar a las organizaciones y a sus clientes. Además, las corporaciones o los estados nacionales pueden llevar a cabo actividades cibernéticas disruptivas con motivaciones económicas o políticas. Los minoristas continúan preocupados por el fraude y el robo cometido por empleados internos y proveedores externos que conocen cómo evadir los procesos y controles establecidos.

Junto con la interrupción del negocio y el fraude, el mayor riesgo cibernético al que se enfrentan los minoristas es la pérdida de datos, lo que causa daños reputacionales y financieros, incluyendo costos de recuperación y tiempo de inactividad, multas y sanciones de las compañías de tarjetas de pago y reguladores gubernamentales, así como el aumento de las tarifas de procesamiento de tarjetas.

Los ataques más recientes a los minoristas, como Target y eBay, revelan seis amenazas clave:

  • Malware personalizado en los sistemas de punto de venta y en los sistemas de los consumidores. Los ciberdelincuentes se mueven sin ser detectados en el entorno de las víctimas e instalan malware para recopilar datos personales y de tarjetas de pago.
  • Sistemas heredados vulnerables y sistemas no actualizados. La gran mayoría de los incidentes involucran la explotación de vulnerabilidades que han sido conocidas durante varios meses o años.
  • Sistemas mal configurados. Muchos incidentes involucran la explotación de debilidades de configuración en sistemas que podrían haberse evitado mediante controles adecuados de aseguramiento de calidad.
  • Gestión de identidad y acceso deficiente. A pesar de las mejores prácticas, la autenticación multifactor para los sistemas expuestos a Internet es obligatoria, pero la mayoría de los incidentes en el sector minorista utilizan credenciales débiles y controles de permisos insuficientes, especialmente para proveedores externos.
  • Ataques de denegación de servicio (DoS). Los agentes de amenaza se están volviendo más sofisticados, aprendiendo a distraer las defensas cibernéticas de los minoristas con ataques de denegación de servicio distribuidos (DDoS), mientras roban datos personales y de tarjetas de pago.
  • Capacidades deficientes de detección y remediación de incidentes. Las organizaciones tardan varios meses en descubrir una violación; además, la mayoría de las violaciones son descubiertas demasiado tarde por partes externas como las fuerzas del orden, los bancos, las compañías de tarjetas y los agregadores de pagos, lo que les da a los ciberdelincuentes todo el tiempo necesario para tener éxito.

Para comprender cómo las nuevas tendencias minoristas aumentan el riesgo cibernético, veamos dos ejemplos:

El Probador: De Estático a Inteligente

El probador del futuro ofrece asistentes virtuales, sensores que miden el cuerpo o un espejo virtual que “prueba” estilos alternativos. Los amigos pueden ser invitados a unirse al proceso de selección de forma remota (piensa en los aplausos de Nike Run en Facebook). Los estilos y ofertas dentro del probador se ajustarán al perfil existente del cliente con base en los comportamientos de compra y otros comportamientos conocidos de clientes similares. El probador inteligente incluso podría ser un puesto de avanzada de un minorista en línea, como una cabina de fotos en una estación de metro. Sin personal. Sin almacenamiento. Ni siquiera productos físicos. El cumplimiento se manejará en un centro central. El gráfico de arriba muestra una descripción general de alto nivel de las características del probador inteligente, las fuentes de datos y el flujo de datos. La base de datos maestra del minorista tiene una conexión con los proveedores, la producción, el marketing/CRM y las bases de datos de almacenamiento. Podría incluir datos obtenidos de terceros a través de API web (por ejemplo, bases de datos de tendencias, blogs de moda, etc.). La figura dos proporciona una vista más detallada del flujo de datos y el entorno de TI. La conexión desde el probador al almacén del minorista se establece a través de Wi-Fi o cable al sistema de TI de la tienda (que también está conectado a las cajas registradoras y al ERP). El probador está equipado con múltiples sensores para mejorar la experiencia del cliente. La ropa puede ser escaneada por un dispositivo del probador a través de NFC o un escáner de código/cámara. Alternativamente, una aplicación en el teléfono inteligente o reloj del consumidor puede encargarse de esta tarea y transmitirla al probador a través de Wi-Fi o Bluetooth. Para obtener ofertas especiales, el cliente debe ser identificado ya sea por la aplicación en el teléfono móvil o por el dispositivo del probador o ambos. Todos los datos desde y hacia el dispositivo del probador se enrutan a través del sistema de TI de la tienda hacia las bases de datos del minorista.

La Experiencia de Compra Personalizada

En este escenario, el cliente es identificado al entrar en una tienda minorista. El consumidor puede ser identificado mediante sensores como cámaras, tarjetas de cliente con tecnología NFC, dispositivos portátiles habilitados para NFC, Bluetooth, a través de una aplicación en el teléfono móvil o en terminales de auto-registro. El carrito de compras también está técnicamente habilitado con un sistema de entretenimiento o de pago automático. Los precios en la tienda pueden ajustarse a través del sistema de TI de la tienda, potencialmente en tiempo real, para ofrecer precios especiales a un individuo en función de promociones actuales o comportamientos de compra anteriores. El personal de servicio al cliente recibe información específica del cliente durante las conversaciones de compra o servicio para aumentar el potencial de venta cruzada o venta adicional en sus terminales. Los datos del cliente se transmiten desde las bases de datos a la tienda y al sistema de TI de la tienda.

Teniendo en cuenta los dos escenarios, la siguiente tabla proporciona una descripción general de las posibles amenazas, agentes de amenaza, contramedidas, impacto de la amenaza, gravedad, probabilidad y riesgo. El rojo significa alto, mientras que el verde significa bajo.

Tomemos, por ejemplo, las etiquetas de precio digitales. Si los precios son ajustables según el cliente, deben verificarse al momento de pagar. Los atacantes querrían establecer un precio muy bajo, lo que resultaría en una pérdida de ingresos. El atacante podría modificar la aplicación en su dispositivo móvil, falsificar/inventar información promocional del cliente o manipular los datos enviados desde el sistema de TI de la tienda a las etiquetas de precio. Es por eso que los minoristas deben investigar las etiquetas de precio, cómo obtienen su información de precios y qué mecanismo se utiliza para cambiar el precio. Para fortalecerlas contra ataques, se deben considerar las siguientes contramedidas:

  • La información y el sistema de precios están encriptados.
  • Verificación independiente de múltiples factores para cambios de precios.
  • Verificación adicional de precios en la terminal.
  • No almacenamiento de datos dentro de la etiqueta de precio.
  • Verificaciones aleatorias de las etiquetas de precio en comparación con una base de datos de referencia interna.
  • Monitoreo de la salida del cliente en busca de anomalías de precios (por ejemplo, un gran número de artículos que resultan en un precio bajo).

Es importante tener en cuenta que ambos escenarios dependen en gran medida del dispositivo móvil o del dispositivo portátil del consumidor para cambiar la experiencia de compra. Esto hace que los minoristas tengan la responsabilidad de trabajar junto con los fabricantes de los dispositivos de usuario final para garantizar estándares de seguridad y un ciclo de vida seguro del producto para el usuario final. Al mismo tiempo, empresas como Apple, Samsung, Huawei, HTC o Microsoft tienen una mayor responsabilidad de asegurarse de que sus dispositivos no se conviertan en una causa principal de incidentes de seguridad que pongan en riesgo tanto a los minoristas como a los consumidores. Los fabricantes deben establecer una gestión adecuada de parches, desactivación y otras medidas de seguridad en los dispositivos inteligentes. La colaboración es importante en otros aspectos también. Casi un tercio de todas las violaciones en el sector minorista comienzan con una vulneración de un proveedor externo. Las organizaciones pueden tomar medidas para asegurar sus propias redes, pero ignorar los riesgos planteados por los socios externos los dejará expuestos y vulnerables a violaciones. Además, dentro de la industria y más allá (como la banca), el intercambio de información es un aspecto clave de la defensa cibernética y la gestión de riesgos cibernéticos. Varias grandes minoristas de Estados Unidos ahora participan en el Retail Cyber Intelligence Sharing Center (R-ISAC) para compartir inteligencia sobre ciberseguridad entre sí y con analistas y agencias de seguridad. Entre las empresas que participan y apoyan a R-CISC se encuentran American Eagle Outfitters, Gap Inc., J. C. Penney Company Inc., Lowe’s Companies, Inc., Nike, Inc., Safeway, Inc., Target Corporation, VF Corporation y Walgreen Company.

Está claro que las tendencias digitales crean enormes oportunidades para la innovación y mejoras en la experiencia minorista. Sin embargo, para tener éxito, los minoristas deben evaluar cuidadosamente y comprender las preocupaciones de ciberseguridad.

Te puede interesar

Axial ERP ofrece un abanico de soluciones robustas para gestión y automatización de procesos empresariales, caracterizadas por su simplicidad de uso y su capacidad para brindar una experiencia de gestión empresarial completamente integrada.

Facebook Linkedin

Menú

Contacto

info@axial-erp.co

(+57) 601 5898710

Bogotá Colombia | Estados Unidos

© 2022-2024 Axial Solutions LLC. Todos los derechos reservados. Todas las demás marcas comerciales y derechos de autor pertenecen a sus respectivos dueños.