martes, 14 de enero de 2014

Objetivo: TPV- POS. Malware roba los datos de pago con tarjeta de las cajas registradoras de los comercios.


Las tarjetas de crédito, o más bien sus números y titular, son un bien muy preciado y que se cotiza en el mundo del ciber-crimen. De ahí que estemos sobre avisados para no perder de vista nuestra tarjeta cuando paguemos con ella en según que lugares o comercios, ni usarla para hacer pagos en Internet si el sitio no es de confianza... Para eso tenemos tarjetas de crédito virtuales y de pre-pago o pagamos con dinero en efectivo, pero ¿quien va a sospechar de una charcutería? ¿o de un establecimiento que pertenece a una cadena extendida a lo largo y ancho del país?
Pues durante el pasado año se ha visto comprometida la seguridad de los TPV (Terminal de Punto de Venta), especialmente en fechas festivas durante las que el número de ventas se incrementa significativamente, y con ellas los números de cuenta de miles de tarjetas de débito y de crédito de clientes de distintos establecimientos.
¿Y cómo es posible hacerse con dichos datos si las transacciones se realizan en entornos de confianza con los datos cifrados y la comunicación de éstos por canales seguros?
Los ciber-delincuentes emplean para ello un malware llamado RAM scraper o Memory parser, diseñado para copiar los datos de la transacción en el único momento del proceso en que se encuentran "en claro": en la RAM del ordenador para completar la autorización.
Este malware es introducido en el TPV una vez que los ciber-delincuentes logran acceder a la red informática del negocio, capturando así los datos de la banda magnética de la tarjeta según van siendo utilizados por el proceso de pago. Y el proceso de introducción del malware en el sistema lo facilita el hecho de que los sistemas TPV a menudo están conectados a ordenadores con los que simultáneamente se navega por Internet o se consulta el correo electrónico: así, el acceder a una web con contenido malicioso o seguir o ejecutar un hipervínculo en un adjunto de correo electrónico por parte del usuario facilita el trabajo de introducir el malware en el dispositivo. Según VISA, este tipo de malware se ha encontrado sólo en sistemas operativos de Windows. Además, los "malos" emplean técnicas anti-forenses para borrar sus huellas.
Estos ataques han llegado al extremo de que tanto el US-CERT como VISA (en abril y en agosto de 2013) se han visto en la obligación de emitir boletines de alerta de seguridad dirigidos a los detallistas, en los cuales describen el procedimiento de infección y el funcionamiento del malware, así como recomiendan una serie de medidas a tomar para mitigar el riesgo. De entre las medidas citadas se pueden destacar:
  • verificar la configuración del firewall
  • no compartir la red de proceso de pagos con otras (Internet)
  • tener instalada la última versión del sistema operativo con los parches de seguridad actualizados, y software antivirus
  • actualizar la aplicación TPV
  • tener precaución con las actualizaciones automáticas de terceros
  • deshabilitar usuarios, puertos y servicios innecesarios..
Y unos cuantos más de mayor complejidad técnica.
Sí, ya sé: parece un tanto paranoico y alarmista, que sólo hay constancia de que haya ocurrido en USA... Pero si tenemos en cuenta que:
  1. los "negocios" lucrativos se extienden rápidamente...
  2. el sistema operativo más extendido es Windows XP, y sobre el que en principio correrían un mayor número de TPV...
  3. el soporte de Microsoft a Windows XP (actualizaciones y parches de seguridad) finaliza el próximo día 8 de abril...
¿Cuánto tiempo crees que va a tardar en extenderse esta amenaza a todo el mundo?
A partir de aquí yo te propongo un par de posibles soluciones:
  1. ve preparando un desembolso económico para actualizar el sistema operativo Windows XP a Windows7 o a Windows8.1 (si tu hardware cumple los mínimos que exige el S.O.), así como, posiblemente, en una nueva licencia para tu software TPV, ya que no confiaría yo en que el fabricante te acompañe en la actualización ni que “se crea” que actualizas por motivos de seguridad; es más, pensará que lo que quieres es instalar otro punto de venta sin que te cueste un euro
  2. migras a Linux, sistema operativo que no te supone un desembolso económico, que seguramente no tenga mayor problema en “aceptar” hardware más limitado, y que te permite elegir entre distintas opciones de software de TPV, también a coste cero.
De encontrarme yo en esa tesitura no dudaría, ¿y tú?

Un cordial saludo,
Publicado por en
Etiquetas: , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)