Se sabe, los cibercriminales atacan cualquier dispositivo o red de dispositivos que les permita obtener información sensible. Computadoras personales, smartphones, redes de juegos y, claro está, terminales bancarias y puntos de venta electrónicos (POS). Este último es el caso de un importante retailer de los Estados Unidos, ocurrido a fines del año pasado, cuya brecha de seguridad afectó a millones de tarjetas de crédito y débito. El debate sobre los estándares asociados a estas operaciones ya comenzó.
En diciembre pasado, se hizo público que la segunda gran cadena de retail en los Estados Unidos, Target, había tenido una brecha de seguridad, donde fueron afectados unos 40 millones de tarjetas de crédito y de débito en los Estados Unidos, entre el 27 de noviembre y el 15 de diciembre de 2013. La información involucrada en este incidente incluyó el nombre del cliente, el número de la tarjeta de crédito o de débito, la fecha de vencimiento de la tarjeta y el código CVV.
Inmediatamente Target contactó “una compañía líder de investigaciones forenses para llevar a cabo una investigación a fondo del incidente y para examinar medidas adicionales que podemos tomar diseñadas para ayudar a prevenir incidentes como este en el futuro”, según explicó su CEO, Gregg Steinhafel, en un comunicado.
El incidente fue reportado tempranamente en la web KrebsonSecurity, y luego fue tomado por la analista distinguida de Gartner, Avivah Litan. Esta última ha estado siguiendo el tema de cerca, con distintos posts. Algunas de sus apreciaciones, en perspectiva:
• En enero, la analista aseguraba: “El estándar de seguridad PCI (Payment Card Industry) ha sido en gran medida un fracaso si se considera su historia y propósito inicial. Target y otras entidades violadas antes que ésta, como Heartland Payment Systems, cumplían con PCI en el momento de sus brechas. Estas compañías gastaron indecibles sumas de dinero anualmente certificando cumplimentariedad con las redes de tarjetas de pagos y sus bancos adquiridos pero no pudieron frenar las brechas”.
• Y agregaba: “Mi entendimiento sobre la última vuelta de malware contra Target y otros retailers (supuestamente hay muchos más que no fueron anunciados) es que están adjuntos en memoria al software de POS (como opuesto a ser un programa que hurga en la memoria —memory scraping program—, como reportaron otros) y captura la información en el momento en que ingresa a través de la aplicación del POS. Como un gusano, se ha propagado a través de todas las terminales de POS de Target antes de adjuntarse a la aplicación de POS. Acumula la información robada en un servidor central de Target, y luego la encripta dos veces en el camino de salida de la compañía de modo que el IDS del retailer no pueda detectarla”. En estas condiciones, concluye Litan, ninguna de las aplicaciones convencionales antimalware que hay en el mercado puede detectarlo. Y además afirma: “Nada de lo que yo conozca del estándar PCI podría haber atrapado esto”.
• También recarga las tintas sobre los bancos y redes de tarjetas por no haber prevenido este tipo de debacle. En su post más reciente, del 11 de febrero, la analista repasa algunas de las lecciones aprendidas. “Target remarcó al Congreso y el mundo que está aumentando su programa der actualización de EMV (el estándar de interoperabilidad de tarjetas con chip y POS) de US$ 100 millones y que lo implementaría antes de la fecha límite de octubre de 2015. Target es absolutamente correcto cuando dice que la seguridad del sistema de pagos es una responsabilidad que necesita ser compartida a lo largo de todos los jugadores en el ecosistema de pagos”.
Para seguir este tema, y conocer tanto las opiniones como las recomendaciones de la analista de Gartner, puede acceder a estos posts, como así también a los jugosos comentarios que alimentaron el debate:
What can we learn from the Target Breach?
Target Saga continues – too much for Fraud Detection systems?
How PCI failed Target and U.S. Consumers
Target and the EMV aftermath
