El Black Friday se ha asentado en España como uno de los periodos comerciales más intensos para la venta online. Del mismo modo que las empresas se preparan para afrontar un incremento significativo de sus ventas a través de internet, los cibercriminales también tienen marcada esta fecha en su calendario.
El ransomware es actualmente el ciberataque más temido por las empresas, especialmente en el caso del sector retail. Según la encuesta ‘El Estado del Ransomware en el Retail 2022’ elaborada por Sophos, el sector retail fue el segundo sector más atacado por ransomware en 2021, solo por detrás del sector de los medios de comunicación, el ocio y el entretenimiento.
El 77% de las empresas de retail a nivel mundial fueron atacadas por ransomware en 2021, un 75% más que en 2020. Además, la cifra de ataques al comercia minorista es un 11% superior a la tasa media de ataques registrada a nivel intersectorial, que se sitúa en el 66% de las empresas encuestadas. Con estos datos de ataques los retailers ya no afrontan los ataques de ransomware en la categoría de “si lo van a sufrir”, sino de “cuando lo sufrirán”.
Por otro lado, la encuesta de Sophos revela que una gran parte de las empresas de retail necesitan mejorar su postura de seguridad, ya que solo el 28% de retailers atacados fueron capaces de impedir que sus datos fueran cifrados por los cibercriminales.
“La mejor razón para mejorar tu ciberseguridad antes del Black Friday es que eso implica que estarás mejorando tu ciberseguridad durante el resto del año, lo que te da fuerzas para seguir haciéndolo en el futuro” comenta Paul Ducklin, técnico senior de Sophos.
Un ejemplo de esta vulnerabilidad es la multa de 1,9 millones de dólares que el estado de Nueva York ha interpuesto a la marca de venta online Shein por mentir sobre una brecha de datos sufrida por la compañía. La falta de estrategias de ciberseguridad óptimas puede derivar en situaciones como la vivida por la compañía que sufrió una brecha de datos en 2018 por la que fueron robadas 39.000.000 de cuentas de usuarios y contraseñas, así como datos bancarios. La multa incide en que no solo no detectaron la vulneración, ya que fue notificada por terceros, si no que no afrontaron de forma transparente con sus usuarios la magnitud del ataque.
