El equipo de respuesta ante incidentes de seguridad de Stoïk responde directamente a los asegurados cuando son víctimas de un ciberataque. El objetivo es expulsar al intruso del sistema informático lo antes posible para poder restablecerlo y reanudar la actividad en un tiempo récord. Descubra a continuación cómo nuestros equipos CERT de Stoïk asesoraron a una empresa de comercio electrónico cuyos métodos de pago estaban siendo desviados por un intruso.

Un ciberataque confirmado tras una simple sospecha

Hacía varios días que nuestro cliente había detectado una actividad que le parecía sospechosa en su web de comercio electrónico. Lo primero que hizo fue informar a su proveedor de servicios informáticos. Tras la correspondiente investigación, el proveedor de servicios explicó a nuestro cliente que no había encontrado nada y que no se trataba de un ciberataque.

Es entonces cuando nuestro asegurado se pone en contacto con nosotros para comunicarnos sus sospechas. Nuestro equipo CERT de Stoïk se puso inmediatamente a investigar la situación. Descubrimos rápidamente que había conexiones procedentes de direcciones IP sospechosas, atribuidas a la red Tor, muy utilizada por los ciberdelincuentes. Comprobamos que dichas conexiones no procedían de los empleados de la empresa: efectivamente, estaba siendo víctima de un ciberataque.

El intruso había sustituido los métodos de pago

El segundo paso que realizó nuestro equipo CERT de Stoïk fue comprobar si había algún elemento que hubiera cambiado recientemente en la página web. Enseguida descubrimos que los datos bancarios del módulo de pago habían sido modificados:

El intruso había modificado el módulo de pago con tarjeta para obtener los números de las tarjetas y los códigos CVV, o simplemente desviar los pagos a su propia cuenta.

Había sustituido los datos bancarios de la empresa por los suyos para recibir todos los pagos realizados por transferencia.

Un día para que la web funcionara de nuevo

Una vez detectado el ataque, pudimos comenzar el trabajo de remediación:

1. Eliminamos todos los archivos que habían sido añadidos o modificados por el intruso;
2. Restablecimos la información de pago correcta en el módulo correspondiente;
3. Eliminamos el módulo externo que estaba siendo vulnerado;
4. Cambiamos las contraseñas de todos los usuarios.

Así, en menos de un día, la web de comercio electrónico volvió a funcionar con normalidad.

Nuestro cliente estaba muy satisfecho con el servicio prestado por nuestro equipo CERT de Stoïk y tiene la intención de adoptar nuevas medidas de ciberseguridad para su empresa.