Sector · NG-RE Retail y e-commerce Marketplaces · D2C · Fashion · Electrónica · Alimentación online NIS2 · PCI-DSS 4.0 · RGPD Modo campaña
§00 — Sector

Tu base de datos de clientes ya se monetiza
en algún sitio. Ahora mismo.

§01
Marco

NIS2, PCI-DSS y RGPD aplicados a retail.

Los marcos se solapan. Coordinamos cumplimiento sin duplicar esfuerzo, reaprovechando lo que ya tienes (PCI-DSS, ISO 27001) para acreditar NIS2 con coste marginal.

NIS2

Marketplaces y proveedores digitales

Marketplaces, motores de búsqueda y plataformas de servicios digitales son entidad importante NIS2 (Anexo II). Para retailers tradicionales, NIS2 puede aplicar indirectamente como proveedor de empresa esencial o por umbrales sectoriales.

PCI-DSS 4.0

Si procesas o almacenas tarjeta

Vigente desde 2024, full enforcement 2025. Nuevos requisitos para e-commerce: defensa contra e-skimming, autenticación reforzada, gestión de scripts de terceros y monitorización continua del entorno CDE.

RGPD · LOPDGDD

Datos personales de clientes a escala

Retail y e-commerce gestionan datos personales a gran volumen: identificación, contacto, hábitos de consumo, geolocalización y perfilado para personalización. Riesgo reputacional y sancionador alto. EIPD habitual para tratamientos de marketing.

DSA · DMA · Omnibus

Marco europeo de comercio digital

Marco regulatorio europeo para comercio digital, marketplaces y plataformas. Obligaciones de transparencia, vigilancia de productos ilegales y reporting según tamaño. Brand protection en marketplaces y vendedores no autorizados.

§02
Riesgos

Lo que detectamos cada semana en retail español.

Patrones que vemos repetirse en mercados Tor, foros privados y canales cifrados orientados a comercio online y minorista hispanohablante.

01

Account takeover masivo

Listas de credenciales válidas para tu tienda online vendidas por entre 0,50 y 5 USD por cuenta. Permiten fraude con saldo, devoluciones falsas y abuso de programas de fidelización.

02

Web skimming / formjacking

Inyección de código malicioso en checkout para capturar tarjetas. Frecuentemente vía plugins comprometidos, dependencias JS de terceros o supply chain en agencias de desarrollo.

03

Bases de datos de clientes filtradas

Volcados periódicos con email, teléfono, dirección y, a veces, hashes de contraseña. Materia prima para phishing dirigido, fraude de identidad y suplantación.

04

Tarjetas con tu BIN comprometidas

Si emites tarjeta de fidelización o cofinanciada con entidad bancaria, los datos de tarjeta circulan. Permite bloqueo preventivo antes del fraude masivo.

05

Tramas de devoluciones fraudulentas

Compra con tarjeta válida, recibo de envío, devolución del paquete vacío y disputa de chargeback. Comunidades organizadas en Telegram con tutoriales por marca.

06

Phishing kits y vendedores no autorizados

Phishing-as-a-Service específico para marketplaces y e-commerce españoles. Clones de apps y panels de cliente, bypass MFA. Falsificaciones y suplantaciones de tu marca en marketplaces ilícitos.

§03
Método

Cómo trabajamos con retail y e-commerce.

Coordinable con prevención de pérdidas, fraude online y propiedad intelectual. SLA reforzado durante Black Friday y campañas críticas, sin coste adicional.

FASE 01

Alcance y stack

Reunión inicial con CISO, e-commerce manager y prevención de fraude. Mapeamos stack (Shopify, WooCommerce, Magento, PrestaShop u otros), CDE PCI-DSS y proveedores TIC críticos.

FASE 02

Gap-analysis e inteligencia inicial

Auditoría NIS2 + PCI-DSS 4.0, evaluación de exposición digital y diagnóstico inicial dark web. Resultado en 48–72 h con priorización por riesgo y recomendaciones inmediatas.

FASE 03

Hardening frontend + supply chain JS

Política CSP estricta, gestión de scripts de terceros, monitorización continua del frontend para detección de e-skimming. Coordinación con tu agencia de desarrollo y QSA.

FASE 04

Vigilancia continua + modo campaña

Ghostnet Watch sobre marca, BINs, plugins críticos y marketplaces. Brand protection coordinada con propiedad intelectual. SLA reforzado para Black Friday y campañas críticas con 14 días de antelación.

§04
Caso

Caso representativo. E-commerce D2C mediano.

Escenario · Retail D2CWeb skimming · Magento

Detección de web skimmer en plugin de checkout antes de incidente público

SituaciónRetailer D2C español con stack Magento. Ghostnet detecta menciones de la URL del checkout en discusiones de un grupo orientado a e-skimming, junto con muestras de código capturadas en pruebas previas.
AcciónAlerta al equipo TIC en menos de 5 minutos. Análisis del plugin sospechoso, revisión de hashes de los assets JS y bloqueo del script malicioso. Coordinación con la pasarela de pago para revisar transacciones afectadas.
ResultadoVentana de exposición cortada antes de captura masiva de tarjetas. Ajuste de la política CSP para bloquear scripts no firmados. Notificación preventiva al QSA. Sin necesidad de comunicación pública.
NotaCaso anonimizado y descrito como patrón representativo del sector.
§05
Oferta

Servicios diseñados para retail y e-commerce.

Coordinable con prevención de pérdidas, fraude online y propiedad intelectual. SLA campaña crítica para Black Friday y rebajas, sin coste adicional para Pro y Enterprise.

NG-RE · Adecuación

NIS2 + PCI-DSS 4.0

Auditoría conjunta y plan ejecutable. Reutilizamos PCI-DSS (si procesas tarjeta) e ISO 27001 (si la tienes) para acreditar NIS2 con coste marginal.

  • Verificación de obligación NIS2 según modelo
  • Gap-analysis PCI-DSS 4.0 con foco e-skimming
  • Vigilancia de cadena de suministro TIC y JS
  • Evidencia de control para auditoría QSA
Ver paquetes
Para retail con campañas críticas
NG-RE · Watch

Vigilancia continua + brand protection

Ghostnet Watch configurado para comercio: dominios, marca, BINs, ejecutivos, plugins críticos y vendedores no autorizados en marketplaces. Modo campaña activable.

  • Alertas en menos de 5 min con cadena de custodia
  • Inteligencia de fraude para prevención de pérdidas
  • Brand protection en marketplaces y mercados Tor
  • SLA reforzado Black Friday / rebajas (Pro y Enterprise)
Ver Ghostnet Watch
NG-RE · Defensa

Hardening checkout + formación fraude

Bastionado del entorno CDE, política CSP estricta, gestión de scripts de terceros y monitorización continua del frontend. Formación a equipos de fraude y atención al cliente.

  • Defensa específica contra e-skimming y formjacking
  • Política CSP y firma de scripts críticos
  • Formación a prevención de pérdidas y atención al cliente
  • Auditoría de exposición digital 48–72 h
Ver hardening
§06
Preguntas

Dudas frecuentes de retail y e-commerce.

¿Mi e-commerce está obligado por NIS2?

NIS2 aplica directamente a marketplaces, motores de búsqueda y plataformas de servicios digitales como entidad importante. Para e-commerce de venta directa puede no aplicar directamente, pero sí indirectamente si eres proveedor de una empresa obligada o si superas umbrales en categorías como alimentación o productos químicos. Te lo verificamos en una llamada gratuita.

¿Cómo se diferencia esto de un antifraude tipo Riskified o Forter?

Es complementario, no competencia. Un servicio antifraude clasifica transacciones en tiempo real para aprobar o rechazar. Nuestro servicio te dice qué credenciales, tarjetas y datos de tu base circulan antes de que se materialice el fraude, y monitoriza tu superficie de ataque (web, plugins, supply chain JS).

¿Trabajáis con Shopify, WooCommerce, Magento o PrestaShop?

Sí, todos. La configuración de Ghostnet Watch y el hardening del frontend son agnósticos del CMS. Adaptamos las recomendaciones a tu stack concreto: políticas CSP, gestión de scripts de terceros, parcheado de plugins críticos y monitorización del marketplace de extensiones.

¿Podéis ayudar con vigilancia de marca en marketplaces?

Sí. Vigilamos vendedores no autorizados, falsificaciones y suplantaciones de tu marca en marketplaces conocidos y en mercados Tor. Se coordina con tu equipo de propiedad intelectual y con tu agencia de takedown si la tienes. Servicio incluido en Ghostnet Watch Pro y Enterprise.

¿Y para retail físico (no online)?

El componente dark web aplica igual: monitorización de marca, ejecutivos, proveedores TIC y filtraciones de programas de fidelización o CRM. Para tienda física también ofrecemos auditoría de exposición y formación específica para personal con acceso a TPV y datos de cliente.

¿Tenéis SLA durante Black Friday o campañas críticas?

Sí. Para clientes de Ghostnet Watch Pro y Enterprise activamos un modo "campaña crítica" con SLA reforzado durante las semanas de Black Friday, rebajas y campañas que tú definas. Avisas con 14 días de antelación, sin coste adicional.

§07 — Siguiente paso

Reunión inicial sin compromiso.

Si eres CISO, responsable de seguridad TIC, prevención de fraude o e-commerce manager, agendamos 30 minutos para entender tu situación y orientarte. Sin pliego, sin oferta, sin presión.

Solicitar reunión Ver auditoría de exposición