Más de 110 millones de afectados en USA por malware en los TPVs

Por el febrero 20, 2014
TPV malware

CheckPoint_1Check Point Software Technologies ha alertado acerca de una nueva tipología de malware, el denominado “RAM scraping”, que afecta directamente a los TPVs (Terminales de Punto de Venta) de los comercios y que ya ha dejado más de 110 millones de usuarios afectados en Estados Unidos a comienzos de este año.

Las investigaciones sobre los ataques en Estados Unidos han revelado que los TPVs de todos los comercios afectados fueron infectados con herramientas del tipo “RAM scraping” un malware con capacidad para realizar volcados de memoria, lo que permitió que los atacantes pudieran interceptar y robar tanto los datos de las tarjetas de crédito de los clientes, como información de sus cuentas.

Según Ceck Point, “aunque los estándares de seguridad en la industria del pago con tarjeta (PCI-DSS) sí ofrecen una fuerte seguridad desde la transacción inicial, debido a que los datos se almacenan en los propios sistemas del minorista”.

Cuando los datos de una tarjeta son leídos por un TPV, éstos se almacenan de forma temporal en una memoria de acceso aleatorio mientras se procesa la autorización de la compra (antes permanecen encriptados). Del mismo modo, del otro lado, cuanto el servidor comienza a procesar la transacción del usuario, los datos son temporalmente desencriptados y almacenados en la memoria. La información es visible durante una fracción de segundo, pero es tiempo suficiente para que estas herramientas de malware  hagan su labor.

Estas herramientas están diseñadas, por tanto, para activarse en el momento justo de producirse la transacción, y obtener los números de tarjeta desde la RAM tan pronto como se carguen nuevos datos.

“No se trata de un modelo invulnerable”, destaca Mario García, director general de Check Point. “Hay un periodo de tiempo muy corto en el que los datos de la tarjeta de crédito del cliente -incluyendo nombre, número de tarjeta, fecha de expiración y los tres dígitos de seguridad- están en texto plano. Esto es debido a que los sistemas del proceso de pago trabajan con datos desencriptados, lo que supone una brecha de seguridad que es aprovechada por las herramientas ‘RAM scraping’ ”.

Posteriormente la información se copia de forma silenciosa en un fichero de texto y, cuando se han producido un determinado número de ‘raspados’ (scrapers) todos estos datos son reenviados a los cibercriminales”, comenta García.

Según Check Point, debido a que tanto los sistemas como los TPV de los comercios están conectados a Internet, es probable que la infección original se haya producido por métodos convencionales: bien después de seguir un enlace a una web maliciosa o de abrir un archivo adjunto a través de un correo electrónico dirigido a algún empleado de la empresa, o bien explotando alguna vulnerabilidad que proporcionase a los atacantes acceso remoto a la red. Las recomendaciones para los propietarios de este tipo de elementos son las siguientes:

  • Usar contraseñas complejas en los TPV y cambiar la configuración que viene por defecto.
  • Actualizar las aplicaciones de los TPV. Del mismo modo que se hace con el resto del software de la empresa, los TPV deben contar con los últimos parches para reducir su exposición a vulnerabilidades.
  • Contar con un firewall para proteger los TPV y aislarlos de otras redes.
  • Utilizar herramientas antivirus y mantenerlas completamente actualizadas
  • Restringir el acceso a Internet de los TPV o sistemas similares para prevenir una exposición accidental a cualquier amenaza de seguridad.
  • Deshabilitar el acceso remoto a los terminales TPV.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>