Relato de un hacker: Cómo obtener la base de datos de una tienda online a través de web scraping
Fuente: Akamai

Relato de un hacker: Cómo obtener la base de datos de una tienda online a través de web scraping

Web scraping es una técnica legítima en muchos casos, pero cuando la ciberdelincuencia la utiliza de forma malintencionada impacta al negocio. 

En los últimos años el comercio electrónico ha registrado un aumento impresionante en América Latina. El número de usuarios que acudió a Internet para realizar diversas compras se incrementó en casi 17 millones en 2023. Esto se tradujo en una facturación nunca antes vista. En concreto, las ventas de e-commerce alcanzaron al cierre del último año los 124.000 millones de dólares. Asimismo, las empresas seguirán apostando por esta modalidad como eje fundamental de su estrategia de negocio.

Este crecimiento del sector e-commerce es oro molido para los hackers, tanto éticos como no éticos, quienes constantemente utilizan diversas técnicas para poner en riesgo el correcto funcionamiento de las tiendas online y así poder robar información sensible. Los e-commerce dependen de una presencia online eficaz para funcionar, por lo que si se logra una filtración exitosa se da por sentado que se podría causar un daño considerable, si no irreparable, a la reputación de la marca y a sus ingresos. De este modo los hackers, monetizan de diversas maneras cada vez que logran irrumpir los candados de estas tiendas digitales. 

“Soy un hacker ético que utilicé una de las tantas herramientas cibernéticas actuales para poner a prueba la seguridad de un sitio e-commerce exitoso. Mi propósito era difundir cómo la técnica web scraping o raspadores web también puede utilizarse con fines maliciosos, como la obtención de bases de datos con datos personales para su venta o intercambio en la Deep Web o Dark Web. Esta práctica puede ser perjudicial, ya que los datos recopilados pueden utilizarse en estafas y fraudes”. 

Un web scraping es un programa automatizado o bot que busca sistemáticamente sitios web e indexa el contenido en ellos; se utilizan principalmente para indexar páginas para motores de búsqueda, también se usan para aplicaciones de compra de cupones y comparaciones, y para la agregación de Optimización del posicionamiento en motores de búsqueda móviles (SEO) y RSS, entre otras tareas. Los raspadores web acceden a los sitios a través de Internet y recopilan información sobre cada página, incluidos títulos, imágenes, palabras clave y enlaces dentro de la misma.

Hacker: “Y ustedes me preguntarán, ¿qué pasos seguí para lograr mi objetivo? Primero ubiqué la tienda online que afectaría, luego realicé una petición HTTP al servidor para obtener el contenido de la página; posteriormente extraje y analicé su código; luego procesé el código fuente identificando los datos relevantes. Procedí a guardar los datos extraídos en un archivo, y fue así como obtuve la base de datos de los clientes de este e-commerce”. 

A través de una buena estrategia podemos crear fácilmente scripts para descubrir y raspar el contenido del sitio web. Dependiendo de las habilidades y los objetivos que cada hacker tenga, la ejecución del script de scraping puede distribuirse entre cientos o miles de servidores para mezclarse con los patrones de tráfico de todos los usuarios de la empresa. Los datos extraídos pueden venderse, utilizarse para sitios de comparación de precios o incluso para crear sitios de imitación con fines fraudulentos.

Por otro lado, Helder Ferrão, director de la Estrategia de Industria para Latinoamérica de Akamai Technologies, destacó que la actividad de raspado web que se esconde detrás de la mayor parte del tráfico suele proceder de entidades que recopilan datos para extraer inteligencia empresarial. Esto puede ser iniciado por empresas bien financiadas que se especializan en la extracción de datos o empresas que desean monitorear a su competencia.

akami hacker ecommerce

¿Cómo afecta el web scraping a un e-commerce?

El comercio electrónico, los viajes, la hostelería y los medios de comunicación son los más afectados por la técnica del web scraping.  

El deber de un Hacker Ético es prevenir a los sitios e-commerce de los riesgos asociados al uso de herramientas de web scraping con fines maliciosos ya que pueden tener consecuencias lamentables como las que a continuación se mencionan:    

  • Violación de la privacidad. Al recopilar datos personales sin consentimiento, los hackers pueden invadir la privacidad de las personas, exponiendo información sensible.
  • Fraude y estafas. Los datos que se recopilan pueden ser utilizarlos  para crear perfiles falsos, realizar fraudes financieros, enviar phishing o llevar a cabo ataques de ingeniería social.
  • Impacto en los sitios de destino. El tráfico generado por el web scraping puede sobrecargar los servidores, haciendo que los sitios se ralenticen o dejen de estar disponibles.
  • Violación de las condiciones de servicio. Muchos sitios web prohíben el web scraping en sus condiciones de uso. Los hackers que ignoren estas restricciones pueden enfrentarse a consecuencias legales.
  • Daño a la reputación. Con la recopilación de datos que los hackers hacen de forma malintencionada provocan daños a la reputación de la empresa y la pérdida de confianza de sus clientes.

De acuerdo con el informe Web scrapers en e-commerce, un peligro para su negocio realizado por Akamai Technologies, Helder Ferrão destacó que el 42% del tráfico web general está generado por bots y el 65 % de ellos son maliciosos. Además los bots scrapers se utilizan para generar sofisticadas campañas de phishing. Obtienen imágenes de productos, descripciones e información sobre los precios y crean tiendas falsas para sustraer la información de tarjetas de crédito o las credenciales de los usuarios.

De acuerdo con Statista Digital Market Outlook, se pronostica que América Latina alcance cerca de 186 millones de usuarios de comercio electrónico en este año. Entre 2024 y 2029, se espera que este número aumente un 51,4%, lo que resultará en unos 281,3 millones de usuarios en toda la región a cierre de dicho periodo. 

“Como hacker ético les puedo decir que el e-commerce seguirá siendo un objetivo extremadamente atractivo, por ello mi recomendación es que protejan en sus tiendas sus datos de los raspadores web y, al mismo tiempo, estarán generando tráfico de mayor calidad. Existen herramientas de protección contra scraping para detectar y mitigar la mayoría de las actividades de scraping, incluso a medida que evolucionan las estrategias de ataque”, concluyó.

¿Más Información?

¿Le interesa más información sobre algún producto mencionado en esta nota?

Escríbanos

Le pondremos en contacto con un experto representante de marca quien lo ayudará.

Artículos relacionados

Solo usuarios registrados pueden realizar comentarios. Inicia sesión o Regístrate.

  1. Comentarios
  2. Empresas
  3. Libros
  • Hola estimado Miguel. Lo más probable... Miércoles, 19 Junio 2024
  • buenos dias tengo algunos problemas con... Martes, 04 Junio 2024
  • Hola Gustavo, un cordial saludo y de... Jueves, 11 Enero 2024
  • Buenas tardes Jairo.¡Puedes contarme... Jueves, 11 Enero 2024
  • Fue un placer y gusto, seguro haremos... Miércoles, 17 Mayo 2023
  • Hola Hugo, gracias por tu comentario,... Viernes, 09 Diciembre 2022
  • Gracias Ing. Jairo Rojas Campo y a... Viernes, 09 Diciembre 2022
  • Hola Ricardo, un cordial saludo...Nos... Lunes, 28 Noviembre 2022
  • Saludos he leido el articulo y me ayudo... Domingo, 27 Noviembre 2022
  • Si, ya lo tenemos disponible también en... Jueves, 10 Noviembre 2022
next
prev

Sobre TECNOSeguro

TECNOSeguro es la publicación on-line líder en audiencia para las industrias de las tecnologías de la seguridad de habla hispana. Una completa guía con información clave para profesionales de seguridad y TI, integradores, instaladores, consultores y distribuidores.

 

Redes Sociales:

NUESTROS BOLETINES INFORMATIVOS

Manténgase actualizado con las últimas tendencias y tecnologías de la industria de la seguridad. Regístrese gratuitamente para recibir nuestros boletines en su bandeja de email.

Regístrese Gratis