Robo de datos de clientes
Base de datos con nombres, direcciones, correos, hashes de contraseña y referencias de pedidos. Impacto: fraude, sanciones, pérdida de confianza y comunicación obligatoria a afectados.
Empresa ficticia para análisis de inteligencia de amenazas
Periféricos, gaming y un reto realista de ciberinteligencia.
CLOCKWORK COMPUTER STORE es una empresa de venta online de periféricos informáticos. La tienda mantiene su estética original en negro y naranja, su catálogo de productos y su comunidad, pero ahora incorpora un caso práctico: analizar amenazas que afectan a un ecommerce tecnológico con 100.000 clientes registrados.
Contexto empresarial
Empleados15
Facturación 202413 M€
Clientes registrados100.000
Crecimiento anual20%
SectorEcommerce tecnológico
Tienda online
Catálogo similar al original, pero con elementos que pueden servir para investigar riesgos: productos falsificados, campañas fraudulentas, cuentas comprometidas, URLs sospechosas y posibles indicadores de fraude.
Mapa de amenazas para Clockwork
El alumnado debe relacionar cada amenaza con activos afectados, fuentes de inteligencia, impacto empresarial y medidas de mitigación.
Phishing y suplantación
Dominios parecidos a la tienda, campañas en redes sociales y correos que prometen descuentos falsos para robar credenciales o datos de pago.
Fraude en transacciones
Compras con tarjetas robadas, cambios de dirección de envío, múltiples intentos fallidos de pago y abuso de promociones.
Productos falsificados
Marketplace externo y perfiles falsos que utilizan la marca Clockwork para vender periféricos no autorizados, dañando la reputación.
Ataques a infraestructura
Escaneo de servicios, explotación de paneles de administración, intentos de credential stuffing y abuso de APIs de pedidos.
Desinformación de marca
Publicaciones falsas sobre retrasos, cupones inexistentes o supuestas brechas de seguridad para afectar ventas y confianza.
Escenario de investigación
Durante una campaña de rebajas, el equipo detecta señales que podrían indicar una operación coordinada contra la empresa.
Hipótesis inicial
Un grupo está aprovechando la popularidad de Clockwork Computer Store para lanzar una campaña de phishing, vender periféricos falsificados y probar credenciales filtradas contra la tienda.
- Incremento de inicios de sesión fallidos.
- Pedidos de alto valor hacia direcciones repetidas.
- Dominios similares al oficial registrados recientemente.
- Clientes preguntando por cupones no publicados por la empresa.
Fuentes de inteligencia sugeridas
- Logs de autenticación, pagos, carrito y servidor web.
- Monitorización de dominios similares y certificados TLS.
- Redes sociales, foros, marketplaces y anuncios patrocinados.
- Feeds de IOCs, reputación de IPs y análisis de URLs.
- Noticias, informes sectoriales y marcos como MITRE ATT&CK.
08:12
Se detectan 1.240 intentos de login fallidos contra cuentas de clientes con patrón de credential stuffing.
09:45
Atención al cliente recibe mensajes sobre un cupón “CLOCKWORK90” que no existe en la campaña oficial.
11:20
Marketing observa un perfil falso en Instagram que redirige a un dominio similar al oficial.
13:05
El sistema antifraude marca pedidos de monitores y auriculares con tarjetas diferentes pero misma dirección de entrega.
16:30
El equipo TI identifica peticiones sospechosas contra /api/checkout y /admin/login.
Indicadores de compromiso y observables
Todos los indicadores son ficticios o reservados para documentación. Sirven para practicar clasificación, enriquecimiento, priorización y difusión de inteligencia.
| Tipo | Indicador | Contexto | Acción esperada |
|---|---|---|---|
| Dominio | clockwork-discounts.example | Landing falsa con cupón no autorizado. | Bloqueo DNS, aviso a clientes, takedown. |
| Dominio | store-clockwork-login.example | Suplantación de login. | Monitorizar, reportar y añadir a lista de bloqueo. |
| IP | 198.51.100.42 | Intentos repetidos contra login de clientes. | Rate limiting, WAF, correlación con cuentas afectadas. |
| IP | 203.0.113.77 | Consultas anómalas a API de checkout. | Revisión de logs, bloqueo temporal y alerta SOC. |
promos@clockwork-support.example | Remitente usado en phishing. | Concienciación, reglas antiphishing, DMARC/SPF/DKIM. | |
| Ruta | /admin/login?debug=true | Pruebas contra panel administrativo. | Revisar exposición, MFA, hardening y registros. |
| Cupón | CLOCKWORK90 | Cupón falso usado como señuelo. | Comunicación en web y redes oficiales. |
Actividad: inteligencia de amenazas aplicada
Entrega individual. El documento debe reflejar investigación propia, fuentes fiables y una propuesta aplicable a una empresa ecommerce de periféricos informáticos.
a
Identificación y prevención
¿Cómo puede la inteligencia de amenazas ayudar a Clockwork Computer Store a identificar y prevenir amenazas cibernéticas?
b
Información necesaria
¿Qué tipo de información sobre amenazas necesita la empresa: técnica, táctica, estratégica y operacional?
c
Ciclo de inteligencia
¿Cómo recopilar, analizar y difundir información sobre amenazas entre TI, dirección, atención al cliente y marketing?
d
Mejora de seguridad
¿Cómo convertir la inteligencia en controles concretos: WAF, MFA, monitorización, antifraude, concienciación y respuesta?
e
Uso de IA
¿Cómo puede la IA ayudar a clasificar alertas, detectar anomalías, priorizar IOCs o resumir campañas de phishing?
f
Herramientas y tecnologías
¿Qué herramientas de IA, SIEM, SOAR, CTI platforms, OSINT y análisis de fraude podrían utilizarse?
Propuesta de estructura de entrega
- Resumen ejecutivo del riesgo para Clockwork Computer Store.
- Activos críticos y amenazas principales.
- Fuentes de inteligencia y proceso de recopilación.
- Análisis de IOCs, TTPs y relación con MITRE ATT&CK.
- Uso de IA para mejorar detección, análisis y difusión.
- Plan de mitigación priorizado y conclusiones.
- Bibliografía con fuentes actuales y fiables.