En 2014 algunos proveedores de seguridad alertaron sobre otro malware llamado «Backoff» que ataca los puntos de venta (PoS) para localizar y robar datos como números de tarjetas bancarias. Aunque este malware, por sí solo, es muy grave, el malware de PoS lleva propagándose por varias empresas al menos desde 2008 y no debe verse solamente como una serie de incidentes aislados.
Si bien no se ignoraba por completo, hasta que no se produjo la inmensa filtración de datos que sufrieron las cadenas de grandes almacenes Target y Neiman Marcus en 2013, el problema de PoS no comenzó a recibir atención pública. En la actualidad, la infección de los PoS llega a niveles industriales.
Como cuantos menos datos se transfieran, menor será el riesgo de que el malware sea detectado y eliminado, este malware filtra los datos que más interesan a los delincuentes: nombre del titular de la tarjeta, número de la cuenta, número de la tarjeta de crédito y fecha de caducidad, que posteriormente venden en el mercado negro.
Estos datos bastan para realizar compras a distancia, a menos que la tarjeta requiera una autorización adicional de su titular, como la introducción del PIN, en cada compra. Las nuevas tarjetas con chip y PIN están mejor protegidas contra el fraude con malware de PoS, pero su seguridad no es inquebrantable.
Los PoS se encuentran entre los puntos más vulnerables de la infraestructura de los comercios. En primer lugar, aunque estén equipados con caja registradora y lector de tarjetas, son básicamente computadoras normales, especialmente aquellos de los establecimientos más grandes. Y están basados en sistemas operativos para uso (casi) general, como Windows o Unix.
Por ejemplo, la edición de 2009 de Windows para PoS es el mismo Windows XP del año 2001, adaptado. En 2011 y 2013 se lanzaron versiones nuevas, sin embargo, como es de esperar, muchos establecimientos tardan en deshacerse de los dispositivos viejos con software antiguo instalado, por lo que mantienen todas las vulnerabilidades y siguen siendo susceptibles al malware.
Y una cosa más: debido a que los dispositivos de PoS son en realidad computadoras normales, también se utilizan, especialmente en empresas pequeñas, para fines generales como la navegación por la Web y el correo electrónico. Por lo tanto, estos dispositivos pueden ser atacados directamente por delincuentes.
Para las empresas afectadas siempre se traduce en enormes pérdidas, independientemente de si sus clientes perdieron su dinero o no: gastos para control de daños, asistencia a los clientes cuyos datos se filtraron, asesoramiento legal, indemnizaciones por posibles demandas, etc.
Para Target, la enorme filtración de datos del 2013 supuso gigantescas pérdidas financieras y de reputación. Además, le costó el cargo al director de tecnologías de la información y al director ejecutivo.
Para empresas más pequeñas incidentes como éste pueden resultar fatales. Además, las empresas pequeñas se han convertido en el siguiente objetivo de los delincuentes programadores de malware de PoS. ¿Por qué? Porque para ellas cambiar el sistema operativo de sus dispositivos de PoS y reorganizar su infraestructura informática de modo disuadir a los delincuentes resulta más problemático, y los dueños de estas empresas a menudo prefieren cruzar los dedos y asumir los riesgos en lugar de gastar recursos para protegerse. Sin embargo, las consecuencias de esta decisión pueden ser drásticas.
Es posible que la cantidad de datos de tarjetas de pago sea menor, pero también son más fáciles de obtener, de modo que tan pronto como las empresas grandes mejoran sus defensas, los delincuentes centran su atención en las más pequeñas.
Medidas de protección recomendables
- Aislar lo más posible los sistemas de PoS de otras redes,
- encriptar las comunicaciones,
- software de seguridad con funciones de supervisión,
- software para gestión de vulnerabilidades y control de aplicaciones,
- restricción del número de personas con acceso autorizado a los equipos,
- proteger *toda* la infraestructura para minimizar los riesgos de intrusión,
- dar capacitación regularmente al personal para prevenir ataques de phishing y demás trucos de los cibercriminales.
—
Traducido y adaptado de Kaspersky Blog.