Blog

Tres riesgos de ciberseguridad para la industria del retail

El manejo de datos, la tecnología y la conexión en tiempo real son tres principales riesgos cibernéticos que la industria del retalil enfrenta. ¿Cómo pueden mitigarse?

Jeans or Denim pants (trousers) hanging on rack in clothes shop. Fashion product collection in clothing store for selling.

El cambio en los hábitos de consumo, así como de los momentos de compra de los consumidores, han impactado drásticamente la industria del retail en los últimos años. Cada vez más, las marcas buscan mejorar la experiencia de compra personalizando la oferta a partir de las preferencias de sus usuarios. Esto representa un gran reto para la industria en términos de riesgo cibernético, de privacidad y de infraestructura tecnológica disponible.

Para personalizar el proceso de compra, las empresas deben analizar grandes cantidades de datos: de las tiendas en línea, de la gestión de inventario en tiempo real, de los procesos logísticos automatizados, o de los datos generados por dispositivos de medición en puntos físicos. Un reto para cualquier organización, así como un riesgo inminente en aumento.

De acuerdo al Informe de Riesgos Globales 2022, la falla de ciberseguridad es uno de los riesgos que más ha empeorado a nivel mundial durante la pandemia de COVID-19. Prueba de ello es que los casos de ransomware aumentaron 435% en 2020. 

¿Por qué el retail es atractivo para los ciberdelincuentes?

El primer riesgo detectado es que la industria del retail maneja no solo un gran volumen de datos, sino también genera y almacena datos sensibles de los usuarios.

La encuesta del Estado del Riesgo Cibernético en Latinoamérica en tiempos de COVID-19 de Marsh en alianza con Microsoft, reveló que una de cada tres empresas de retail en Latinoamérica percibe un incremento de los ciberataques como consecuencia de la pandemia. 

Esta realidad es una gran motivación para los ciberdelincuentes que buscan hackear, los sistemas de las compañías que forman parte de la industria y su cadena de abastecimiento.

En lugar de sustraer dinero o mercancía de los comercios, los criminales se enfocan en acceder a la información confidencial de los usuarios. No solo están buscando acceder a los hábitos de compra, sino acceder a los datos de medios de pago, que se trasmiten entre los clientes y negocios.

¿Qué hace tan vulnerable a la industria del retail?

El segundo riesgo muy común es que las empresas administran y gestionan el negocio, haciendo convivir tecnologías viejas, como los sistemas de punto de venta (POS), y tecnologías nuevas como los dispositivos IoT (que utilizan y los sistemas cloud-based que soportan las plataformas de e-commerce)

Este ecosistema mixto hace a las empresas tremendamente vulnerables. Por un lado, los sistemas cloud-based producen y almacenan una gran cantidad de datos valiosos. Por otro lado, esta convivencia entre tecnología antigua y los dispositivos IoT es poco segura y puede abrir la puerta no solo a los intrusos, sino a nuevos riesgos. 

  • Desde otro ángulo, la industria también es muy vulnerable por la alta tasa de rotación de personal, con accesos privilegiados y no existen protocolos claros, para mitigar estos riesgos. 
  • Costear la capacitación adecuada en ciberseguridad de empleados temporales es crítico, pero pocas veces dimensionada, y los criminales están aprovechando estas brechas, así como la falta de preparación del personal. 
  • Concientizar a los empleados, no debe ser tomado a la ligera y es indispensable repensar el riesgo cibernético como un pilar fundamental, de la estrategia corporativa, desde el liderazgo.

Consecuencias de un ataque cibernético en el retail 

El tercer riesgo más común, es que tanto las tiendas físicas como el e-commerce dependen de manera crítica de la tecnología y de la conexión en tiempo real de las diferentes fuentes de datos, para operar correctamente. 

Un ataque cibernético puede comprometer entonces la integridad, la disponibilidad y/o confidencialidad de la información.  Por ejemplo, para comprometer la integridad de la información, los ciberdelincuentes pueden vulnerar los sistemas de la compañía y modificar los precios de sus artículos. 

En el caso de la disponibilidad de la información, los criminales pueden atacar a la compañía a través del ransomware, lo que impedirá el acceso de la organización a su información. En el caso de los comercios, este ataque les impedirá vender mercancía (ya sea por unas horas o por días enteros) hasta que se pague una recompensa. 

Finalmente, para comprometer la confidencialidad de la información, los hackers pueden vulnerar los sistemas de la compañía, copiando el contenido de las bases de datos de clientes y proveedores. Además, pueden acceder a información confidencial, como los análisis de mercado, sus proyecciones financieras, fusiones, patentes entre otros.

Algunas de las consecuencias que tiene un ataque cibernético para una compañía de retail son:

  • Pérdida de ingresos por la interrupción del negocio
  • Gastos extra en los que hay que incurrir para reestablecer los sistemas
  • Gastos extra de responsabilidad civil en los que hay que incurrir para indemnizar a los afectados por filtración
  • Multas y sanciones de los organismos correspondientes
  • Afectación a la reputación de la compañía y por ende disminución en la confianza de los clientes 
  • Fraudes por robo de dinero a la compañía y/o a clientes
  • Daños materiales e inutilización de equipos 

Algunas soluciones de mitigación para la industria

El riesgo cibernético es inminente y su criticidad va a seguir aumentando. Sin embargo, se pueden tomar acciones para mitigarlo. Si bien la industria del retail no dejará de ser atractiva para los ciberdelincuentes, las empresas pueden trabajar en planes, para ser lo menos vulnerables posible. 

Es imprescindible entonces que toda la tecnología dentro del sistema de la compañía cuente con las versiones más actualizadas de parches de seguridad y que cuenten con soluciones detectoras de malware (incluyendo sistemas POS y dispositivos IoT)

Para contrarrestar la dependencia a la tecnología, es fundamental contar con planes de respuesta a incidentes, probados y mejorados continuamente que consten de:

  • Procesos para gestionar, informar y recuperarse de las incidencias
  • Contar una guía de respuesta para ransomware
  • Contar con una estructura de equipo de respuesta definida
  • Establecer procesos para clasificar y priorizar incidencias
  • Disponer de una lista de nombres y de información de contacto de las autoridades pertinentes
  • Establecer revisiones periódicas del plan y del programa de actualización

Es importante que los planes de respuesta a incidentes estén alineados con el plan de recuperación de desastres enfocado en ciberincidentes (DRP) y el plan de continuidad del negocio (BCP) de la compañía. 

De esta forma, por medio de la seguridad informática y ojalá también de la transferencia del remanente del riesgo con un seguro de riesgos cibernéticos, la empresas podrán innovar y abordar la transformación digital con la confianza de que esta exposición se puede preparar.

Autora

Image placeholder

Susana Munoz

Regional Cyber Broker Marsh Latin America