Malware en los terminales punto de venta detrás de la brecha de seguridad de Target

Negocios

El llamado RAM Scraper, o malware para los terminales punto de venta, está detrás de una brecha de seguridad que ha afectado más de 110 millones de usuarios.

La última brecha de seguridad que ha conmovido al mercado y ha vuelto a demostrar que los ciberdelincuentes hilan cada vez más fino se ha producido contra Target, una cadena de tiendas de Estados Unidos.

A mediados de diciembre la compañía confirmaba que los datos de cerca de 40 millones de tarjetas de crédito y debido habían sido robados. Se dijo entonces que los ladrones habían accedido a los datos almacenados en la banda magnética situada en el reverso de las tarjetas, lo que les habría servido para clonar las tarjetas

TargetLos ladrones habían datos de acceso almacenada en la banda magnética en el reverso de las tarjetas de crédito y débito durante el fin de semana del Viernes Negro a través de máquinas de tarjetas de deslizar que podrían haber sido manipulados en las tiendas del minorista, una práctica conocida como clonación de tarjetas.

El nombre de usuario, número de la tarjeta de crédito o débito, la fecha de caducidad de la tarjeta o el código seguridad CVV de tres dígitos es el tipo de información que se robó. Además, los ciberdelincuentes tuvieron acceso a direcciones de correo electrónico, direcciones postales o números de teléfono. Durante varias semanas el número de usuarios afectados fue creciendo desde los 40 millones iniciales, a 70 millones reconocidos días después.

Después de varias investigaciones se ha determinado que los terminales Puntos de Venta de la compañía, PoS por sus siglas en inglés, fueron infectados con malware, confirmando lo que los expertos de seguridad habían sospechado desde que la brecha de seguridad fue anunciada a mediados de diciembre.

RAM Scraper

Al malware diseñado para los puntos de venta se le conoce como ‘RAM scraper’ porque lo que normalmente hace es busca en la RAM de esos terminales los datos de las transacciones para robarlos.

Normalmente, los terminales PoS son ordenadores con periféricos, como lectores de tarjetas y teclados, que suelene ejecutar una versión de Windows Emebedded como sistema operativo y que incorporan un software para la contabilidad de las operaciones.

datafono RAM scraperCada vez que una tarjeta se pasa por un PoS para autorizar una venta, los datos codificados en la banda magnética de la tarjeta, como son el número de la tarjeta, el nombre del usuario o la fecha de caducidad, se pasan, junto con la petición del pago a la aplicación, y todo ello al proveedor de procesamiento de pago de la compañía.

Aunque esta información está cifrada, durante un periodo de tiempo queda almacenada en la RAM del sistema y puede ser leída por malware instalado en el terminal punto de venta. Y esto es lo que parece que ha ocurrido en el caso de Target.

Los  ‘RAM Screaper’ no son nuevos, como tampoco lo son los ataques contra PoS, pero su frecuencia, así como el interés de los cibercriminales en ellos, se está incrementando.

Aunque el ataque contra Target ha sido el más reciente, Visa lanzó advertencias el año pasado al detectar un incremento en las intrusiones de red de los retailers; la empresa explicaba a sus clientes que una vez dentro de la red de la tienda de los hackers instalan malware en el sistema de caja de registro basado en Windows para acceder a los servidores y extraer los datos.

Los hackers pueden acceder a los sistemas PoS y las redes de las tiendas explotando varios agujeros de seguridad, pero lo más común es robar las credenciales de administración mediante ataques de fuerza bruta –que consiste en probar combinaciones posibles hasta dar con la clave.

Tras algunas advertencias, Visa  ofreció a sus clientes determinadas recomendaciones, como la utilización de autenticación de doble factor cuando se accede a las redes de procesamiento de pago, incluso cuando se está accediendo a través de redes privadas virtuales, o VPN. Para impedir el ‘RAM Scraper’ se puede implementar cifrado punto a punto, de forma de los datos queden a salvo.

Educación sobre ciberseguridad

La última información procedente de Target es que la compañía invertirá cinco millones de dólares en educación sobre ciberseguridad, y que al final suman 110 millones el número de clientes afectados por la brecha de seguridad.

Conscientes del efecto que ha tenido la brecha de seguridad, la compañía ha reducido sus previsiones de resultados a entre 1,20 y 1,30 dólares la acción, frente a los entre 1,50 y 1,60 dólares previstos inicialmente. Además, a través de un comunicado, la compañía ha explicado que actualmente su prioridad es que los clientes vuelvan a confiar en la compañía , que quieran volver a comprar en Target.


Leer la biografía del autor  Ocultar la biografía del autor