Según el informe Estado de Internet en materia de seguridad de 2019: Tráfico de API y ataques al sector retail, elaborado por Akamai, durante el periodo de mayo a diciembre del pasado año, los hackers lanzaron más de 10 000 millones de intentos de abuso de credenciales en sitios de retail, lo cual ha situado dicho sector a la cabeza de los más atacados entre todos los analizados. El informe también destaca otras dos cuestiones importantes en el campo de la seguridad: la preponderancia del tráfico de llamadas de API en la Web y la aparente mala representación del tráfico basado en IPv6.
La compañía analizó la técnica de abuso de credenciales conocida como “credential stuffing”, consistente en el uso sistemático de botnets por parte de los hackers para probar en toda la Web datos de inicio de sesión robados. Los hackers dirigen estos ataques a las páginas de inicio de sesión de bancos y retailers, sabiendo que muchos clientes utilizan las mismas credenciales de inicio de sesión para varios servicios y cuentas. El interés en el sector retail procede del valor de las mercancías, las cuales los hackers adquieren a través de las cuentas pirateadas para después, en muchos casos, revenderlas.
Según se indica en el informe, los insidiosos bots AIO que los hackers despliegan son herramientas multifunción que permiten realizar compras rápidas mediante el relleno de credenciales y una serie de técnicas de evasión. Un solo bot AIO puede atentar contra más de 120 retailers a la vez.
Dentro de la industria del retail, excluido el sector de ropa, Akamai identificó intentos de abuso de credenciales contra sitios web de comercio directo, grandes almacenes, tiendas de material de oficina y también moda, tales como joyas y relojes.
La prevalencia del tráfico de API y la posible mala contabilización del IPv6 indican problemas de seguridad
Las llamadas de API representan el 83 % del tráfico web, según un estudio de Akamai de octubre de 2018 que se detalla en el informe. Debido a las transformaciones digitales y la implementación de aplicaciones en la nube, la mayor parte del tráfico de API corresponde a aplicaciones personalizadas. Para los equipos de seguridad, el crecimiento del volumen de API es importante al sopesar los riesgos, porque algunas herramientas de seguridad no están equipadas para gestionar el tráfico de API.
“El estado de las aplicaciones web es fluido, y muchas llamadas de API son específicas de una aplicación o empresa y, por tanto, requieren un enfoque de seguridad diferente al tráfico HTML, que es aparentemente estático”, explica McKeay.