Actualmente, los pagos electrónicos superan en número a las transacciones en efectivo, por lo que los ciberataques a los sistemas de punto de venta (PoS, por sus siglas en inglés) son cada vez más frecuentes. En los últimos años, se han hecho públicos varios incidentes de alto nivel, como la famosa brecha de 10 millones de dólares en el PoS de Subway, que afectó al menos a 150 franquicias; la brecha de Barnes & Noble, que afectó a los lectores de tarjetas de crédito de 63 tiendas; o las brechas que comprometieron más de cinco millones de tarjetas de crédito de la clientela de Lord & Taylor y Saks Fifth Avenue.
Recordemos que los sistemas de punto de venta son computadoras, lo que las convierte en un punto débil en materia de ciberseguridad y, consecuentemente, en uno de los principales objetivos de ciberatacantes. Es importante que el sector financiero y las organizaciones que utilizan estos dispositivos, reconozcan que todos los sistemas de punto de venta tienen algún nivel de riesgo en lo que respecta a la seguridad, siendo vulnerables ante ataques automatizados lanzados por cibercriminales.
Estos grupos han mejorado y hecho más sofisticadas sus técnicas de ataque, utilizando principalmente estos dos vectores de ataque: el primer escenario es en el que acceden físicamente a la terminal para ejecutar el código código malicioso para alterar su comportamiento y generar diferentes tipos de fallas. El segundo es aquel en el que despliegan el ataque de forma remota para comprometer el sistema afectado.
¿A quienes afecta? A cualquier organización que utilice este tipo de sistemas. Investigadores de ciberseguridad identificaron a dos de los principales grupos cibercriminales: Carbanak y FIN7. Carbanak se enfoca en las instituciones financieras, mientras que FIN7 tiene como objetivo organizaciones de alimentos, hospitalidad y ventas al por menor. Ambos grupos utilizan campañas de spear-phishing con archivos adjuntos llenos de exploits como punto de entrada al sistema que buscan comprometer.
Mediante la aplicación de medidas para proteger los sistemas y las transacciones de los puntos de venta y la formación del personal sobre las políticas de seguridad de PoS, las empresas pueden reducir drásticamente la probabilidad de sufrir un costoso incidente de seguridad. Ocelot, el equipo de seguridad ofensiva de Metabase Q y el primer equipo de LATAM en haber sido seleccionado por un proveedor líder mundial de PoS en China para asegurar sus nuevos dispositivos antes de salir al mercado, nos hace algunas recomendaciones:
Cifrar todos los datos de los puntos de venta en el momento de su entrada y descifrarlos solo cuando lleguen al procesador de pagos; bloquear las aplicaciones que podrían suponer riesgo, como el correo electrónico para evitar infecciones de malware; y realizar una gestión adecuada de parches. Para un sistema seguro, es fundamental llevar a cabo pruebas periódicas de vulnerabilidad para identificar los puntos débiles, así como implementar procedimientos o protecciones que aborden cualquier vulnerabilidad detectada.
POR ALEXANDRA MOGUEL
@METABASEQ
WWW.METABASEQ.COM
CONTACT@METABASEQ.COM
CAR