El objetivo de los ciberdelincuentes: Las tarjetas de crédito
10 de Noviembre, 2014 - Internacional
Para Ignacio Sbampato, de la compañía de seguridad ESET, "lo que se observa en Estados Unidos, en general suele pasar en Europa y América Latina al mismo tiempo o poco tiempo después".
Desde julio los informes sobre ataques informáticos a comercios minoristas en los Estados Unidos se multiplicaron en forma preocupante y encendieron una luz de alarma global. La lista incluye gigantes como UPS, Target, Home Depot y Staples, y la cantidad de números de tarjetas sustraídos se eleva a decenas de millones.
En la mayoría de los casos, los piratas informáticos obtuvieron números de tarjetas de clientes de esos comercios y en algunos casos (como ocurrió con eBay en mayo pasado), se quedaron con los datos personales, un botín muy preciado para robar identidades. Entre enero y octubre se informaron 629 brechas de seguridad, para un total de más de 77,8 millones de registros personales filtrados, un 26,5% más que en 2013, según Identity Theft Resource Center.
En la Argentina no hay datos precisos sobre este tipo de delito, aunque los expertos en seguridad informática advierten que el escenario es de alta vulnerabilidad. "Donde haya datos de tarjetas almacenados, alguien va a intentar obtenerlos", explica Ignacio Sbampato.
La extensa lista de comercios atacados por los piratas informáticos incluye, además de los mencionados, a AT&T, Dairy Queen, Evolution Store, Goodwill, Hannaford Brothers, Jimmy John's, JP Morgan, Kmart, MBIA Inc., Michaels Stores, Neiman Marcus, P.F. Chang's, Sally's Beauty Supply, Signature Systems Inc. y Splash Car Wash. Hay, pues, de todo; desde lavaderos de autos hasta aseguradoras de bonos.
Brian Krebs es un experto en seguridad que durante 14 años trabajó como periodista para The Washington Post y hoy es uno de los referentes en el tema. Krebs dijo en un mail que no está seguro de porqué hay cada vez más informes sobre ataques a minoristas, pero que tiene varias teorías. "Primero, hay más organizaciones, particularmente minoristas, que están buscando señales de tales intrusiones.
No es una sorpresa que las estén encontrando. Cualquier organización que administra grandes cantidades de datos de tarjetas de crédito sin cifrar, aunque sea durante una fracción de segundo, está buscándose que la ataquen", dijo. Se refiere al instante en que la tarjeta es leída en el punto de venta o POS. Si en ese momento los datos quedan expuestos, es posible sustraerlos.
"En segundo lugar -continuó Krebs-, los que roban estas tarjetas de crédito están siendo cada vez más descarados al momento de venderlas. Cuando ves millones de nuevas tarjetas inyectadas de la noche a la mañana en el mercado negro, es bastante obvio que algún jugador grande fue hackeado. La policía está monitoreando mejor estos mercados y comunidades para detectar patrones que indiquen una brecha de seguridad, así como para notificar a las instituciones afectadas tan rápido como sea posible. Lo interesante es que la relativa apertura de estas actividades permite a muchos otros actores -desde bancos hasta periodistas- llevar adelante sus propias investigaciones, lo que probablemente también contribuye a que haya más revelaciones de brechas de seguridad."
A juicio de este experto, hay un tercer factor que podría estar acelerando el ritmo de los ataques. "Los delincuentes saben que se está agotando el tiempo para encontrar presas fáciles aquí en los Estados Unidos. Lamentablemente, hay muchísimas presas fáciles, así que el problema no se va a resolver pronto. Pero hay disponibles muchas más herramientas que antes para cometer estos atracos, tanto en términos de malware como en el conocimiento y los mecanismos para vender los datos sustraídos. Por otro lado, y esto también es interesante, el mercado para tarjetas robadas parece estar bastante saturado ahora, tanto que la mayoría de estos piratas están encontrando problemas para vender más del 1 al 3% de las tarjetas que obtienen," aseguró Krebs.
En Argentina
En 2006, la industria de las tarjetas de crédito fundó el Consejo de Estándares de Seguridad (PCI), un foro internacional que define las normativas y mejores prácticas. De acuerdo a Visa Argentina "Como administradora controlamos el cumplimiento del programa de seguridad definido por la PCI y realizamos en el nivel nacional tareas de evaluación en la aplicación de ese programa, así como la difusión de alertas y programas de concientización." Visa destacó el hecho de que las comunicaciones de los POS están encriptadas y que el equipo en sí tiene un mecanismo que borra todo su contenido, si se intenta abrirlo.
Sin embargo, los delincuentes han utilizado diversas técnicas para conseguir acceso a los registros de datos de los clientes, sin necesidad de violar los POS o interceptar transmisiones cifradas. En el caso de Home Depot, se le sustrajo la contraseña a un proveedor externo y, con ella, ingresaron a la red de la compañía. Así, lograron robar 56 millones de números de tarjetas de crédito y 53 millones de direcciones de correo electrónico. Es el mayor fraude de este tipo que se conozca.
El panorama local está, como de costumbre, casi vacío de cifras. Sin embargo, para Ignacio Sbampato, de la compañía de seguridad ESET, "lo que se observa en Estados Unidos, en general suele pasar en Europa y América latina al mismo tiempo o poco tiempo después. La tendencia es claramente al alza en todos lados, y lo único que parece limitarlo es la falta de adopción de las tarjetas de crédito en algunos países en particular. Donde haya datos de tarjetas almacenados, alguien va a intentar obtenerlos".
Por su parte, Leonardo Grana, especialista en seguridad de Symantec, coincide en que no hay cifras ni informes, pero que están dadas las condiciones para el robo de números de tarjetas de crédito. "La capacidad técnica de atacar a un minorista sin dudas existe en la Argentina, y los mecanismos de protección que se usan no son los adecuados. En algunos casos, trabajan con versiones gratis de los antivirus," observó Grana. Además, destacó que los POS no son el único eslabón de la cadena. "Esos dispositivos están conectados a una red que quizás usa Windows XP, que ya no recibe actualizaciones de seguridad", dijo.
Grana hizo además hincapié en otro tipo de fraude que también crece en Estados Unidos y ha llegado a la región: la infección de cajeros automáticos con un malware que les permite a los delincuentes extraer dinero a discreción. "En un informe que Symantec hizo con la OEA, aparece el caso de un malware aparentemente creado en México y llamado Ploutus. Como el cajero es en el fondo una PC, los criminales lo infectan con un virus como éste, lo que les otorga control para extraer sumas de dinero. En Colombia, BBVA sufrió una millonaria estafa cuando un entregador interno infectó los cajeros con virus para que dieran plata una vez al día. Otros miembros de la banda iban a los cajeros con un código especial y extraían la plata", relató Grana.
La tendencia es, pues, global y parece muy probable que los mecanismos de seguridad de los pagos con débito y crédito necesiten ser revisados. Es algo que, a tono con la velocidad de la evolución técnica, no tiene, en el fondo, nada de raro.
Fuente: La Nación, Argentina
noticias reLACIONADAS
HSBC Argentina contará con la tecnología de la española Facephi
26 de Septiembre, 2017 - Perú
Reino Unido: casi un tercio de todos los pagos del 2021 fueron contactless
19 de Agosto, 2022 - Perú
Mexicanos apuntan a las tarjetas
15 de Marzo, 2016 - Perú
Según VISA MiPymes se enfocarán en seguridad y prevención de fraude en 2021