Relato de un hacker: Cómo obtuve la base de datos de una tienda online a través de web scraping
Las ventas de e-commerce en América Latina alcanzaron los 124.000 millones de dólares en 2023. Web scraping es una técnica legítima en muchos casos, pero cuando la ciberdelincuencia la utiliza de forma malintencionada impacta al negocio. El uso de herramientas de rastreadores web por parte de los ciberdelincuentes pueden tener consecuencias lamentables.
En los últimos años el comercio electrónico ha registrado un aumento impresionante en América Latina. El número de usuarios que acudió a Internet para realizar diversas compras se incrementó en casi 17 millones en 2023. Esto se tradujo en una facturación nunca antes vista. En concreto, las ventas de e-commerce alcanzaron al cierre del último año los 124.000 millones de dólares. Asimismo, las empresas seguirán apostando por esta modalidad como eje fundamental de su estrategia de negocio.
Este crecimiento del sector e-commerce es oro molido para nosotros los hackers, tanto de sombrero negro como de sombrero blanco, quienes constantemente utilizamos diversas técnicas para poner en riesgo el correcto funcionamiento de las tiendas online y así poder robar información sensible. Los e-commerce dependen de una presencia online eficaz para funcionar, por lo que si logramos una filtración exitosa sabemos que causaremos un daño considerable, si no irreparable, a la reputación de la marca y a sus ingresos. Y nosotros, monetizaremos de diversas maneras cada vez que logramos irrumpir los candados de estas tiendas digitales.
Soy un hacker ético que utilicé una de las tantas herramientas cibernéticas actuales para poner a prueba la seguridad de un sitio e-commerce exitoso. Mi propósito era difundir cómo la técnica web scraping o raspadores web también puede utilizarse con fines maliciosos, como la obtención de bases de datos con datos personales para su venta o intercambio en la Deep Web o Dark Web. Esta práctica puede ser perjudicial, ya que los datos recopilados pueden utilizarse en estafas y fraudes.
Un web scraping es un programa automatizado o bot que busca sistemáticamente sitios web e indexa el contenido en ellos; se utilizan principalmente para indexar páginas para motores de búsqueda, también se usan para aplicaciones de compra de cupones y comparaciones, y para la agregación de Optimización del posicionamiento en motores de búsqueda móviles (SEO) y RSS, entre otras tareas. Los raspadores web acceden a los sitios a través de Internet y recopilan información sobre cada página, incluidos títulos, imágenes, palabras clave y enlaces dentro de la misma.
Y ustedes me preguntarán, ¿qué pasos seguí para lograr mi objetivo? Primero ubiqué la tienda online que afectaría, luego realicé una petición HTTP al servidor para obtener el contenido de la página; posteriormente extraje y analicé su código; luego procesé el código fuente identificando los datos relevantes. Procedí a guardar los datos extraídos en un archivo, y fue así como obtuve la base de datos de los clientes de este e-commerce.
A través de una buena estrategia podemos crear fácilmente scripts para descubrir y raspar el contenido del sitio web. Dependiendo de las habilidades y los objetivos que cada hacker tenga, la ejecución del script de scraping puede distribuirse entre cientos o miles de servidores para mezclarse con los patrones de tráfico de todos los usuarios de la empresa. Los datos extraídos pueden venderse, utilizarse para sitios de comparación de precios o incluso para crear sitios de imitación con fines fraudulentos.
Por otro lado, Helder Ferrão, director de la Estrategia de Industria para Latinoamérica de Akamai Technologies, destacó que la actividad de raspado web que se esconde detrás de la mayor parte del tráfico suele proceder de entidades que recopilan datos para extraer inteligencia empresarial. Esto puede ser iniciado por empresas bien financiadas que se especializan en la extracción de datos o empresas que desean monitorear a su competencia.
¿Cómo afecta el web scraping a un e-commerce?
El comercio electrónico, los viajes, la hostelería y los medios de comunicación son los más afectados por la técnica del web scraping.
Como hacker ético mi deber es prevenir a los sitios e-commerce de los riesgos asociados al uso de herramientas de web scraping con fines maliciosos ya que pueden tener consecuencias lamentables como las que a continuación menciono:
● Violación de la privacidad. Al recopilar datos personales sin consentimiento, los hackers podemos invadir la privacidad de las personas, exponiendo información sensible.
● Fraude y estafas. Los datos que recopilamos podemos utilizarlos para crear perfiles falsos, realizar fraudes financieros, enviar phishing o llevar a cabo ataques de ingeniería social.
● Impacto en los sitios de destino. El tráfico generado por el web scraping puede sobrecargar los servidores, haciendo que los sitios se ralenticen o dejen de estar disponibles.
● Violación de las condiciones de servicio. Muchos sitios web prohíben el web scraping en sus condiciones de uso. Los hackers que ignoremos estas restricciones podemos enfrentarnos a consecuencias legales.
● Daño a la reputación. Con la recopilación de datos que hacemos de forma malintencionada provocamos daños a la reputación de la empresa y la pérdida de confianza de sus clientes.
De acuerdo con el informe Web scrapers en e-commerce, un peligro para su negocio realizado por Akamai Technologies, Helder Ferrão destacó que el 42% del tráfico web general está generado por bots y el 65 % de ellos son malicioso. Además los bots scrapers se utilizan para generar sofisticadas campañas de phishing. Obtienen imágenes de productos, descripciones e información sobre los precios y crean tiendas falsas para sustraer la información de tarjetas de crédito o las credenciales de los usuarios.
De acuerdo con Statista Digital Market Outlook, se pronostica que América Latina alcance cerca de 186 millones de usuarios de comercio electrónico en este año. Entre 2024 y 2029, se espera que este número aumente un 51,4%, lo que resultará en unos 281,3 millones de usuarios en toda la región a cierre de dicho periodo.
Como hacker ético les puedo decir que el e-commerce seguirá siendo un objetivo extremadamente atractivo, por ello mi recomendación es que protejan en sus tiendas sus datos de los raspadores web y, al mismo tiempo, estarán generando tráfico de mayor calidad. Existen herramientas de protección contra scraping para detectar y mitigar la mayoría de las actividades de scraping, incluso a medida que evolucionan las estrategias de ataque.