Instituto Nacional de ciberseguridad. Sección Incibe

Pyme no recibe el pago de sus ventas por una vulnerabilidad en la pasarela de pago

Fecha de publicación 07/11/2023
Pyme no recibe el pago de sus ventas por una vulnerabilidad en la pasarela de pago

¿Qué ha ocurrido?

Desde la ‘Línea de Ayuda en Ciberseguridad’ de INCIBE, recibimos a través del teléfono 017 la llamada de un usuario, que nos contactó con el objetivo de recibir pautas y buenas prácticas ante un posible acceso no autorizado al sitio web de su empresa.

En primer lugar, nos explicó que en el negocio en el que trabaja tienen una tienda online creada en una prestigiosa pasarela de pago.

Todo comenzó a raíz de que uno de sus clientes les contactara para informarles de que no había recibido el correo de confirmación de pedido tras haber realizado el pago. Comenzaron a investigar y descubrieron que ellos nunca habían recibido tal pedido. 

Estos hechos los llevaron a sospechar de que otra persona había tomado el control de su sitio web y habían modificado los datos en la pasarela de pago de su negocio, sustituyendo el número de cuenta de la empresa por otra personal no autorizada. Lo que conlleva que sus clientes estaban realizando los pagos a un tercero, en vez de a su empresa.

Pudimos notar que estaba muy preocupado por las estafas que podrían realizarles a sus clientes, y por consiguiente el daño a la reputación de su negocio.

Nos comentó que, afortunadamente, habían sido capaces de detectar el problema a tiempo y habían podido recuperar el control de su sitio web.

Decidió contactarnos para conocer qué pasos deben realizar ante el incidente del que han sido víctimas.

¿Qué pautas le hemos dado?

Al estar un poco alterado, intentamos calmarle y le explicamos que es posible que las pasarelas de pago presenten, en ocasiones, vulnerabilidades, por lo que es muy importante mantenerse siempre actualizado. 

Afortunadamente, al haber recuperado el control del sitio web, podían reforzar la seguridad y solventar la vulnerabilidad explotada. Además, sobre esta línea, le aconsejamos consolidar la imagen de la empresa, a través de boletines, sus redes sociales y la propia web, para transmitirles seguridad a sus clientes y potenciar sus futuras ganancias.

En cuanto a los pasos a realizar, estas son las pautas que le dimos:

  • Cambiar las contraseñas de acceso, estableciendo unas que sean robustas y modificarlas periódicamente.
  • Activar el doble factor de verificación.
  • Mantener siempre actualizado el gestor de contenidos.
  • Usar soluciones y herramientas antivirus/antimalware y mantenerlas actualizadas.
  • En caso de ser necesario, restaurar la copia de seguridad de la página web.
  • Revisar los contenidos de la página web y compararlos con los existentes en las copias de seguridad para identificar las modificaciones.
  • Revisar la seguridad en los formularios existentes en la web, por si fueran vulnerables y pudiesen realizarse ataques de inyección de código.
  • Hacer uso de captchas para evitar spam.
  • Hablar con servicio de hosting para comprobar la seguridad y los logs.
  • Recabar todas las evidencias posibles, apoyándose en herramientas de testigos online. 
  • Efectuar denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado, acudiendo de forma presencial a una comisaría de Policía o a un cuartel de la Guardia Civil.
  • El Responsable de Tratamiento de Datos de la empresa deberá ponerse en contacto con la AEPD para informarles sobre la brecha de seguridad sufrida antes de que pasen 72 horas de los hechos.

Además, le facilitamos el ‘Catálogo de Ciberseguridad’ de INCIBE por si necesitasen empresas o soluciones que les pudieran ayudar en el proceso.

Finalmente, le recordamos que pueden volver a llamar al servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE para resolver cualquier duda, siempre que lo necesiten. 
 Tu Ayuda en Ciberseguridad