¿Conoces esa sensación cuando te despiertas de una pesadilla de que tu tarjeta de crédito ha sido robada junto con el saldo de tu cuenta y tu identidad? Para la mayoría de nosotros, es solo una pesadilla que desaparece de nuestro banco de memoria en el desayuno, pero para muchos otros es una realidad que lleva a una llamada inmediata a su proveedor de tarjeta de crédito.
Ahora imagina que eres ese proveedor de tarjetas de crédito o el sitio de comercio que está aceptando tus datos y estás perdiendo ingresos significativos, lealtad del cliente y una sensación de seguridad perdida. La integridad de los scripts de su página de pago ejecutados en el navegador del consumidor importa. Es parte de tu propia identidad, por lo que cuando está comprometida, el impacto se siente exponencialmente.
Hoy en día, los ataques del navegador apuntan a la cadena de suministro del software en gran medida, y muchos se ponen nerviosos por una buena razón.
Durante un lapso de cinco meses en Ticketmaster en 2018, 40.000 tarjetas de crédito se vieron comprometidas, gracias a la obra de Magecart. Al poner malware en una de las páginas de servicio al cliente, la información personal y la información de la tarjeta de pago fueron robados.
Pero este no es el primero y ciertamente no el último. Junto con la evolución de la tecnología, que por supuesto incluye el surgimiento en su cara de la IA, ha llegado un fuerte aumento en las amenazas cibernéticas de todos los lados. De acuerdo con Veracode State of Software Security, el 55% de las aplicaciones JavaScript tenían al menos una vulnerabilidad OWASP Top 10 y casi el 10% tenía fallos de gravedad alta. Con la ubicuidad de las bibliotecas JavaScript del lado del cliente utilizadas en las aplicaciones modernas, la necesidad de protección del lado del cliente nunca ha sido mayor.
A medida que las aplicaciones web dependen cada vez más de la lógica del lado del cliente e integran más recursos de terceros, los ataques del lado del cliente están en aumento. Hasta hace unos años, los ataques dirigidos a aplicaciones en el lado del servidor, más a menudo para extraer datos de bases de datos de backend, comprometer servidores web y otras infraestructuras, o servir como punto de entrada desde el cual los atacantes podían moverse lateralmente a través de una organización, atraían mucho más atención.
Los ataques del lado del cliente, que incluyen ataques Magecart, se dirigen directamente a los datos confidenciales del cliente, lo que lleva a infracciones e infracciones de las regulaciones de privacidad de datos. Para hacer frente a esta amenaza en evolución, PCI DSS 4,0 introdujo nuevas medidas de seguridad centradas en el lado del cliente.
Las organizaciones que manejan la información de tarjetas de pago deben seguir el nuevo estándar, versión (4,0), del Estándar de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) antes de finales de marzo de 2025. El incumplimiento de PCI DSS puede resultar en multas y restricciones significativas en el uso de la plataforma de pago en el futuro.
Entonces, ¿qué es un proveedor de tarjetas de crédito o un sitio de comercio electrónico para hacer?
La protección del lado del cliente (CSP) ayuda a proteger contra la exfiltración de datos del usuario final, protege los sitios web de las amenazas de JavaScript, bloquea los scripts defectuosos y admite varias políticas de seguridad de contenido. También proporciona información procesable en una única vista de panel de control y ofrece alertas para mitigar la actividad dañina del script.
Utilizando un enfoque por capas en el perímetro, el nuevo CSP de Edgio monitorea continuamente esos scripts y API del lado del cliente para que los datos confidenciales del cliente no se vean comprometidos en eventos como ataques XSS, clickjacking, jacking de formularios y ataques Magecart como el que afectó a Ticketmaster. Los equipos pueden administrar fácilmente qué scripts están autorizados a ejecutar, por página, mientras cumplen con la nueva versión (4,0) del PCI DSS para el próximo año.
De acuerdo con el Informe de Investigaciones de Violación de Datos 2023 de Verizon, se estima que un 18% de las violaciones de seguridad minoristas se atribuyen a ataques de Magecart.
Edgio CSP se vuelve aún más formidable con el soporte de una aplicación web y protección de API (WAAP), una plataforma que protege los activos web de una amplia gama de amenazas críticas, desde DDoS e inyección de código malicioso hasta ataques de API y Bot, todo en el perímetro. Con WAAP, obtendrá defensa en profundidad contra ataques multi-vector, todo desde una única consola intuitiva, para una mayor observabilidad en todas las aplicaciones y menos gastos generales.
La protección del lado del cliente le brinda todo lo que necesita para aplicaciones seguras y de alto rendimiento.
Los paquetes de aplicaciones de Edgio Protect and Perform proporcionan todo lo que necesita para crear, proteger y entregar aplicaciones de alto rendimiento con precios fijos predecibles sin cargos por exceso de uso. Además, los servicios de seguridad administrados líderes en la industria se incluyen en paquetes de aplicaciones, para ayudar a los equipos ofreciendo un servicio 24/7 de guante blanco que lo prepara para los ataques en evolución y mejora continuamente su postura de seguridad.
Edgio se compromete a seguir cambiando con el panorama evolutivo de la tecnología, estar al tanto de lo que nuestros clientes necesitan sin importar a dónde nos lleve… ¡y eso incluye estar en el lado correcto de la protección!
