El robo de datos de tarjetas de crédito y débito es una de las primeras modalidades de cibercrimen que continúa a día de hoy. Las bandas del ciber-crimen organizan sofisticadas operaciones para robar grandes cantidades de datos y posteriormente venderlos en los mercados clandestinos.
Se trata de un negocio potencialmente lucrativo, ya que cada tarjeta llega a venderse hasta por 130 dólares estadounidenses. En este sentido, existen muchas formas en las que los atacantes pueden conseguir robar datos de las tarjetas siendo la habitual hoy en día atacar el punto en el que el comerciante adquiere esos datos de tarjeta, es decir, el TPV-PoS (sistema del punto de venta, point-of-sales).
Igualmente, los ataques dirigidos encuentran en la red de los TPV-PoS una oportunidad de generar pérdidas directas por fallo del servicio de cobro. El impacto en la indisponibilidad de la red de TPV podría generar pérdidas multimillonarias a la compañía.
El malware específicamente diseñado para robar datos de los sistemas de TPV-PoS está ampliamente disponible en los mercados negros
El malware de puntos de venta es actualmente una de las mayores fuentes de extracción de datos de tarjetas robadas para los cibercriminales. De hecho, los atacantes han ido perfeccionando sus métodos y han conseguido perpetrar gigantescas fugas de datos en los últimos años, las cuales en los últimos años comprometieron aproximadamente 100 millones de tarjetas bancarias en los Estados Unidos.
Los kits de malware de TPV-PoS actualmente están ampliamente disponibles en la red y en el mercado negro. Con una inversión limitada, los atacantes pueden comprar herramientas que podrían llegar a aportarles millones.
A pesar de las mejoras que se han desarrollado en lo que respecta a las tecnologías de seguridad para tarjetas y los requisitos de las Normas de seguridad de datos para el sector de las tarjetas de pago (PCI DSS), aún existen muchas deficiencias en la seguridad de los sistemas de TPV-PoS. A medida que los procesadores y empresas de pago reforzaron su seguridad, los atacantes se adaptaron y centraron su atención en los terminales del punto de venta. ¿Por qué?, muy sencillo. Cuando se pasa la tarjeta por el lector, la memoria del terminal almacena los datos durante un corto tiempo mientras los transfiere al procesador de pagos. Esto proporciona un breve intervalo para que el malware en el terminal copie los datos de la tarjeta y, posteriormente, los transmita a los atacantes. Esta técnica es conocida como “RAM-scraping” y está detrás de la mayoría de los ataques de malware para TPV-PoS más grandes ocurridos en los últimos años.
Muchos de los sistemas de TPV-PoS están basados en sistemas operativos para finalidades generales, como por ejemplo Windows Embedded, Windows XP y versiones posteriores, así como otros sistemas operativos Unix incluido Linux. Por consiguiente, estos sistemas podrían sufrir una gran variedad de escenarios de ataque que podrían conducir a fugas de datos de gran escala.
Adicionalmente, el hecho de tener los TPV ó ATM sin conexión WEB y considerar que la interacción humana está limitada al Software específico que tienen cargado no garantiza que un TPV no pueda ser manipulado o infectado: “Malware Propagation” a través de la red interna.
De cara a cubrir estas necesidades de seguridad adicionales en los dispositivos de cobro de nuestros clientes, El equipo de CyberSoC de Deloitte ofrece dentro de su portfolio de servicios un enfoque integral 360º sobre estos terminales que van desde la identificación de vulnerabilidades en todas las capas y niveles del TPV (desde el Software hasta los drivers, pasando por el middleware y el Sistema Operativo), hasta la operación 24x7 de monitorización, protección y bastionado de seguridad de las redes y plataformas de los terminales con herramientas de mercado y acuerdos con proveedores líderes, así como la utilización de diversas técnicas, herramientas, desarrollos propios sobre TPV y metodología propia de Deloitte.