Consumo ECONOMÍA E INDUSTRIA Internet

El miedo a usar la tarjeta de crédito online

AGENCIAS.- Resulta habitual que los consumidores no quieran introducir en una página web su tarjeta de crédito por miedo a los robos de datos. Este miedo existe en comercios poco conocidos, pero también con entidades bancarias o tiendas de aplicaciones de gigantes como Google. Sin embargo, según el director técnico de PandaLabs, Luis Corrons, pagar en una tienda a través de TPVs «es igual de peligroso que comprar online».

El pasado 18 de diciembre la tienda física estadounidenseTarget Corp reconoció que piratas informáticos habíanrobado los datos de 40 millones de tarjetas de crédito y débito de compradores que visitaron sus tiendas durante el inicio de la temporada de compras navideñas, entre el 27 de noviembre y el 15 de diciembre del 2013.

Estas tarjetas están ahora siendo vendidas en el mercado negro para ser clonadas y realizar compras con ellas o sacar dinero en cajeros de forma fraudulenta.

La compañía no ha especificado cómo los piratas informáticos han realizado este ataque y lo están investigando en colaboración con el Servicio Secreto estadounidense, «aunque se cree que sus terminales de venta han sido comprometidos», según el experto de PandaLabs. «Este tipo de ataque y robo está en alza en los últimos años y preocupa seriamente a las autoridades», ha dicho Corrons.

 

El robo de datos más grande conocido, un robo de 130 millones de números de tarjetas de crédito, fue el de la empresa de procesamiento de pagos Heartland en 2009. Le siguen el minorista de descuento TJ Maxx al que robaron los datos de 94 millones de clientes. Un caso similar reciente es el de Barnes & Noble, ocurrido en octubre del año pasado, donde también sus terminales fueron comprometidos.

Este tipo de ataques y otros muchos que han tenido lugar exclusivamente en entornos online demuestran, explica Corrons, que «el robo de datos se está generalizando» y grandes empresas están siendo afectadas, como es el caso de Sony Online Entertainment (PSN), Ubisoft, Facebook,LinkedIn y eHarmony.

Una hipótesis que se baraja en el robo a Target Corp es que los cibercriminales habrían comprometido el software instalado en terminales de puntos de venta de sus tiendas físicas. El ataque parece no haber afectado a su tienda online.

Cuenta Corrons que otra hipótesis que se ha barajado es lainstalación de dispositivos de captura de información en los TPVs, aunque «parece prácticamente imposible que se puedan robar los datos de tantos millones de tarjetas, en las casi 1800 tiendas de Target en Norteamérica, exclusivamente mediante un ataque de este tipo». En este sentido, argumenta que instalar dispositivos físicos simplemente en varias decenas de tiendas a la vez, en las mismas fechas, «implicaría una capacidad logística sin precedentes por parte de los criminales».

De esta forma, una hipótesis «más plausible», opinan desde Panda, es que este ataque podría haberse realizado mediante la instalación de un programa malicioso que robara los datos de las tarjetas pasadas por los propios terminales en las tiendas. Este ataque es similar al caso de Barnes & Noble donde uno de los Keypads de 63 tiendas fueron comprometidos para obtener la información de la tarjeta y el pin que era introducido por los clientes. La empresa se vio obligada a desmontar y analizar 7000 de estos Keypads de sus tiendas.

Se especula también que el ataque podría haberse realizado desde el interior «ya que se necesita conocimiento interno de los terminales y redes de las tiendas Target», explica el experto. Se habría infectado un primer terminal o varios por alguien en el interior de la empresa o engañando con técnicas de ingeniería social a un trabajador. Así, según Corrons, «una vez infectado este terminal de compra, el malware se habría ido propagando por la red de las tiendas».

Es también posible que el software malicioso, una vez en la red interna de las tiendas, «haya explotado alguna vulnerabilidad hasta ganar acceso a servidores de información donde se guardan los datos relacionados con las tarjetas o transacciones». Este caso sería similar al del ataque de la empresa de procesamiento de pagos Heartland donde 130 millones de datos fueron robados.

El ataque se realizó instalando programas escucha en las redes corporativas de empresas del Fortune 500, los programas interceptaron las transacciones de tarjetas de crédito y transmitieron la información a servidores en diferentes países. Este ataque se realizó desde finales del 2006 a principios del 2008 sin ser detectado en todo ese tiempo, recuerdan desde PandaLabs.

Añade un comentario

Clic aquí para publicar un comentario