¿Se pueden infectar las terminales punto de venta?

El malware para Terminales Punto de Venta es una herramienta en la muy lucrativa industria del robo de datos de tarjetas. Al final de la cadena de suministro, hay personas que utilizan plásticos falsos para comprar productos y servicios. Estas personas obtienen estas tarjetas  fraudulentas de las bandas de ciberdelincuentes que las producen.

Las bandas, a su vez, obtienen los datos que componen las tarjetas de foros o tiendas dedicadas a esto en la dark web u otros mercados negros en línea. Los vendedores de estos mercados suelen ofrecer miles o incluso millones de datos de tarjetahabientes. Por último, las personas que venden datos en esos foros y tiendas compran los datos al por mayor a los hackers.

Son estos hackers los que emplean el malware en las TPV. Los ciberdelincuentes se sienten atraídos por donde está el dinero, mientras haya personas en la cadena de suministro que utilicen tarjetas de crédito falsas, siempre habrá delincuentes que roben los datos. En consecuencia, las empresas siempre estarán bajo la amenaza del malware en terminales punto de venta dedicado a robar datos.

¿Cómo se puede infectar una terminal?

Antes de que un malware de TPV pueda robar los datos de las tarjetas de débito o crédito, primero tiene que encontrar la forma de entrar en un sistema de la terminal punto de venta. Desgraciadamente, hay muchas formas de llegar a él.

Dado que los proveedores de TPV a veces necesitan acceder a sus productos de forma remota para solucionar problemas, aplicar parches o prestar asistencia técnica, la mayoría de los dispositivos están diseñados para conectarse directa o indirectamente a Internet. 

Como parte del cumplimiento de la norma PCI DSS, algunos sistemas también deben conectarse a Internet para realizar la sincronización horaria con los servidores NTP (Network Time Protocol). Por último, también puede ser necesaria una conexión a Internet para que el sistema pueda exportar datos de compras, inventario u otros datos empresariales a servidores remotos.

Aunque es necesario para la conservación, el mantenimiento, la seguridad y otras funciones comerciales del dispositivo, Internet también permite a los atacantes obtener acceso. Estas son las formas más comunes en que los sistemas POS se infectan con malware:

Phishing e ingeniería social

No todos estos sistemas son terminales de punto de venta dedicados; de hecho, muchos de ellos son computadoras modificadas que funcionan con Windows. Cuando un sistema de punto de venta está configurado de esta manera, es probable que se utilice para otras funciones como enviar/recibir correos electrónicos, navegar por Internet, consultar sitios de redes sociales, mensajería instantánea y otras actividades en línea.

Lamentablemente, estas actividades en línea son susceptibles de ser objeto de phishing y otros ataques de ingeniería social. Una vez que el usuario hace clic en un enlace o descarga un archivo adjunto en un correo electrónico o mensaje de phishing, podría terminar descargando el propio malware o un troyano que posteriormente descargue el malware.

Otros dispositivos comprometidos en la red

En el caso de que el dispositivo punto de venta esté conectado a la LAN de la oficina pero no a Internet, los ciberdelincuentes pueden acceder al dispositivo a través de un ataque indirecto. Primero atacarían un dispositivo conectado a Internet y lo utilizarían como punto de partida para alcanzar su objetivo principal.

Pueden emplear el phishing, la fuerza bruta u otras formas. Incluso pueden simplemente hackear un dispositivo de red cuyas contraseñas por defecto no hayan sido cambiadas. Una vez que han conseguido entrar en la red, suelen intentar adquirir credenciales de nivel administrativo antes de buscar finalmente el objetivo principal: la máquina del punto de venta. Una vez que han entrado en la máquina, instalan el malware.

También, pueden infectarse cuando el malware aprovecha las vulnerabilidades del sistema operativo, los complementos del navegador o el propio navegador web. Las vulnerabilidades conocidas se solucionan fácilmente mediante parches o actualizaciones de software. Desgraciadamente, la mayoría no aplica los parches correctamente, y muchos no lo hacen en absoluto.

También es común que las empresas empleen los servicios de terceros, a algunos se les da acceso a la propia máquina donde se cobra (por ejemplo, para los vendedores de software instalado en la misma máquina) o a otro dispositivo que se ejecuta en la misma red que la máquina. Esto ofrece a los ciberdelincuentes una vía de ataque.

Los hackers pueden robar las credenciales de inicio de sesión asignadas a estos terceros para acceder al sistema de TPV. Este tipo de ataque es difícil de rastrear porque si se ven los registros, los inicios de sesión parecen ser realizados por alguien autorizado para acceder al sistema.

¿Cómo roban los datos?

¿Qué ocurre cuando el malware se instala en un sistema de punto de venta? Roba los datos de las tarjetas de crédito. En primer lugar, mientras los datos están almacenados, en segundo lugar, mientras atraviesan la red y tercero, mientras los datos están en la memoria.

La mayoría de los TPV cifran los datos almacenados y los que atraviesan la red, por lo que el malware de TPV rara vez ataca en estas etapas. Los ciberdelincuentes sólo pueden extraer la información que necesitan si los datos están sin cifrar. Normalmente, esto sólo ocurre cuando los datos están todavía en la memoria. 

El proceso de robo de información de la memoria RAM se conoce como RAM scraping. Dependiendo del tipo de RAM scraping, los datos se roban al por mayor o según un patrón de coincidencia. Los RAM scraping suelen recoger el número de las tarjetas, el nombre del titular, la fecha de caducidad, el código CVV y otra información incrustada en la banda magnética. 

Una vez extraídos los datos de la RAM, se almacenan temporalmente en un archivo en algún lugar del sistema o de la red.

A medida que entran más clientes y se pasan los datos de sus tarjetas de crédito, se recogen más datos y se acumulan en ese mismo archivo. Después de un cierto período, el malware se conecta a un servidor de comando y control remoto y comienza el proceso de infiltración.

Infiltración encubierta y persistencia

Para evitar ser detectados, algunos programas maliciosos de TPV cifran los datos antes de transmitirlos. Algunos también utilizan peticiones HTTP en la transmisión de los datos para evitar sospechas, así parece que el sistema punto de venta se está utilizando para navegar, lo que permite que el proceso de infiltración de datos eluda los cortafuegos y la mayoría de los antivirus.

Hay que tener en cuenta que, cuando un scraper de RAM toma datos de la memoria, sólo consigue tomar información de una sola tarjeta, es decir, la que se ha pasado recientemente. Por eso, como ya se ha mencionado, los datos extraídos de la memoria tendrían que acumularse. Dado que puede pasar algún tiempo antes de que se recopile una cantidad sustancial de datos, el malware tiene que persistir en el sistema el mayor tiempo posible para que sea efectivo.

Para ello, el malware suele emplear técnicas de escalada de privilegios como la manipulación de registros o la desactivación de antivirus y herramientas de supervisión. Algunos tipos de malware también crean copias de seguridad de sí mismos, que se recuperan en el caso de que sean eliminados o incapacitados de alguna manera.

¿Cómo mitigar la amenaza del malware para puntos de venta?

Para reducir esta amenaza en particular, los comercios deben adoptar una serie de medidas de seguridad, entre ellas: 

1. Dedicar un terminal de punto de venta exclusivamente a las funciones relacionadas con el cobro con tarjeta.

2. Si el presupuesto no lo permite #1, prohibir a los empleados el uso de un terminal de punto de venta no dedicado para tareas no relacionadas con el trabajo (por ejemplo, navegación personal por Internet, correo electrónico o redes sociales).

3. Si #2 aún no es posible, formar a los empleados para que reconozcan y manejen los correos electrónicos/mensajes de phishing.

4. Actualizar todo el firmware y el software.

5. Utilizar un software antivirus.

6. Utilizar cortafuegos y soluciones de filtrado de contenidos que identifiquen y bloqueen el tráfico entrante y saliente sospechoso.

7. Asegurarse de que los administradores internos y los terceros utilizan contraseñas seguras y autenticación de dos factores.

8. Adoptar tarjetas con tecnología EMV, que en teoría elimina la clonación de plásticos.

Deja un comentario