¿Qué es el malware de PoS y por qué cuesta millones? Hace un tiempo, algunos proveedores de seguridad alertaron sobre otro malware llamado "Backoff" que ataca los puntos de venta (PoS). Aunque el malware, por sí solo, es más que suficiente para provocar una alerta del US-CERT (es decir, es muy grave), el malware de PoS suele representar un problema mayor y de larga duración que no debe verse solamente como una serie de incidentes aislados. Aunque no se ignorara por completo, hasta que no se produjo la inmensa filtración de datos que sufrieron las cadenas de grandes almacenes Target y Neiman Marcus el año pasado, el problema de PoS no comenzó a recibir atención pública, a pesar de que el malware de PoS llevaba propagándose por varias empresas al menos desde 2008. En la actualidad, la infección de los endpoints de los puntos de venta llega a niveles “industriales”: los cibercriminales han descubierto el punto de ataque más próximo al dinero de otras personas. Por lo tanto, ¿a qué nos estamos enfrentando? ¿Qué es el malware de PoS? En la mayoría de los casos, por no decir todos, la función principal de este malware es el “rastreo de la memoria RAM” de un dispositivo o servidor; es decir, el análisis del endpoint del punto de venta para localizar y robar datos como números de tarjetas bancarias antes de su cifrado. Desafortunadamente, existe una puerta abierta para este tipo de sustracción de datos. Según Brian Donohue, quien abordó exhaustivamente el tema del malware de PoS en un artículo anterior, cuando los servidores de pago reciben los datos de las tarjetas, estos ya están cifrados. Sin embargo, hay un breve periodo de tiempo en el que la información debe descifrarse a texto sin formato para poder efectuar la autorización del pago (en 1 sistemas sin cifrado punto a punto). Ese es el momento en el que la caja registradora (o un servidor próximo, según el sistema) almacena los datos de pago como texto sin formato en su memoria de acceso aleatorio (RAM). Y es aquí donde aparece el malware de PoS como BlackPOS o Backoff, entre otros. Los rastreadores de RAM suelen introducirse en los procesos en ejecución y pueden interceptar datos confidenciales de la memoria en un instante. Por supuesto que existen ciertas complicaciones técnicas: por ejemplo, los datos sin filtrar “analizados” de la RAM de los endpoints de PoS (es decir, volcados completos de la memoria) se acumulan en gigabytes y no parece que transferirlos resulte tan fácil (ya que se activaría una “alerta roja” de tráfico que avisaría a los administradores del sistema). Cuanto menos datos se transgredan, menor será el riesgo de que el malware sea detectado y eliminado. Al parecer, el malware está programado para filtrar exactamente los datos que más interesan a los delincuentes: los datos de las pistas 1 y 2 registrados en la banda magnética de la tarjeta. En la pista 1 se encuentra la información asociada con la cuenta real e incluye elementos como el nombre del titular de la tarjeta o el número de la cuenta. La pista 2 contiene información como el número de la tarjeta de crédito y la fecha de caducidad. Estos datos bastan para realizar compras a distancia, a menos que la tarjeta requiera una autorización adicional de su titular, como la introducción del PIN, en cada compra. Las nuevas tarjetas con chip y PIN están mejor protegidas contra el fraude con malware de PoS, pero su seguridad no es inquebrantable. 2 Brian Donohue señala que la enorme filtración de datos que sufrió Target solamente fue posible porque los atacantes se atrincheraron en un servidor con la infraestructura de procesamiento de pagos de Target. “En el caso de Target, es probable que los atacantes transfirieran su malware de PoS desde un servidor o una máquina ubicados o conectados de forma centralizada a los endpoints o servidores del punto de venta en los que tenía lugar el proceso de autorización. De lo contrario, habrían tenido que instalar el rastreador de la RAM en todos los endpoints de cada centro de Target, lo cual es altamente improbable, cuando no imposible”, comentó Donohue. Aun así, los endpoints de PoS se encuentran entre los puntos más vulnerables de la infraestructura de los establecimientos debido a una serie de motivos técnicos. En primer lugar, los dispositivos de PoS no tienen nada de especiales en lo que respecta al hardware y al software. Aunque estén equipados con caja registradora y lector de tarjetas, son básicamente equipos normales, especialmente aquellos sistemas integrados de los establecimientos más grandes. Y están basados en sistemas operativos para uso (casi) general, como Windows Embedded o Unix. Por ejemplo, la edición de 2009 de Windows Embedded es el mismo Windows XP adaptado para utilizarse con endpoints de PoS y otros sistemas similares. En este sentido, el sistema operativo Windows Embedded for Point of Service lanzado en 2006 está basado en Windows Embedded. Posteriormente, Microsoft lanzó en 2009 Windows Embedded POS Ready, que también es una versión actualizada/revisada de Windows XP. En 2011 y 2013 se lanzó Windows Embedded POS Ready 7 y 8, basados en Windows 7 y 8, respectivamente. Sin embargo, como es de esperar, la implementación no es inmediata, y muchos establecimientos tardan en deshacerse de los dispositivos más viejos con software antiguo instalado, por lo que mantienen todas las vulnerabilidades de Windows XP y otros sistemas, y siguen siendo susceptibles al malware. Y no se puede decir que este último aparezca en pocas ocasiones. Por ejemplo, la edición de 2009 de Windows Embedded es el mismo Windows XP adaptado para utilizarse con endpoints de PoS y otros sistemas similares. En este sentido, el sistema operativo Windows Embedded for Point of Service lanzado en 2006 está basado en Windows Embedded. Posteriormente, Microsoft lanzó en 2009 Windows Embedded POS Ready, que también es una versión actualizada/revisada de Windows XP. En 2011 y 2013 se lanzó Windows Embedded POS Ready 7 y 8, basados en Windows 7 y 8, respectivamente. Sin embargo, como es de esperar, la implementación no es inmediata, y muchos establecimientos tardan en deshacerse de los dispositivos más viejos con software antiguo instalado, por lo que mantienen todas las vulnerabilidades de Windows XP y otros sistemas, y siguen siendo susceptibles al malware. Y no se puede decir que este último aparezca en pocas ocasiones. Además, aunque Microsoft ya ha dejado de ofrecer soporte para Windows XP, mantendrá el soporte para Windows Embedded POS Ready 2009 hasta 2016. Eso 3 significa que lo más probable es que estos dispositivos se sigan utilizando durante mucho tiempo. Y una cosa más: debido a que los dispositivos de POS son en realidad equipos normales, también se pueden utilizar (y, de hecho, se utilizan, especialmente en empresas pequeñas) para “fines generales”, como la navegación por la web y el correo electrónico. Por lo tanto, estos dispositivos pueden ser atacados directamente por delincuentes. Si utiliza sistemas operativos de uso general, puede recibir ataques de malware con fines no tan generales Las normas de seguridad actuales recomiendan, pero no exigen, aislar el entorno de datos de titulares de tarjetas (CDE) de otras redes, incluida la web pública. Sin embargo, debido a que los sistemas de PoS necesitan mantenimiento, deben admitir sistemas como los servidores de protocolo de hora de la red y permitir también la exportación de los datos comerciales y de otro tipo a otros sistemas, con lo que el aislamiento total es poco práctico o incluso imposible. En entornos comerciales consolidados, los sistemas de PoS al menos están separados del ámbito público de Internet, pero siguen existiendo medios para acceder a la red empresarial general, lo que puede ser y es explotado por delincuentes, quienes recopilan valiosos datos de tarjetas de pago que posteriormente venden en el mercado negro. Para las empresas afectadas siempre se traduce en enormes pérdidas, independientemente de la magnitud de los daños económicos reales para los titulares de las tarjetas de pago (es decir, de si los clientes perdieron su dinero o 4 no): gastos de varios millones para todo tipo de control de daños, asistencia a las víctimas cuyos datos se filtraron, asesoramiento legal, indemnizaciones como resultado de posibles demandas colectivas de los clientes, medidas técnicas, etc. Para Target Corp, la enorme filtración de datos del año pasado supuso gigantescas pérdidas financieras y de reputación. Además, el director de tecnologías de la información tuvo que renunciar en marzo y Target anunció en mayo que su director ejecutivo también dejó el cargo. Algo así no supone la quiebra de toda la empresa. Pero para empresas más pequeñas incidentes como este pueden resultar fatales. Además, las empresas pequeñas se han convertido en el siguiente objetivo de los delincuentes programadores de malware de PoS. ¿Por qué? Porque los grandes establecimientos han aprendido la lección y, aunque las cosas vayan mal, han aumentado sus niveles de seguridad. Tienen recursos para ello. Pero, para las empresas pequeñas, cambiar el sistema operativo de sus dispositivos de PoS y reorganizar su infraestructura de TI de modo que la filtración del procesamiento de los pagos sea un obstáculo que disuada a los delincuentes, puede resultar problemático, y los dueños de estas empresas a menudo prefieren cruzar los dedos y asumir los riesgos en lugar de gastar recursos para protegerse. Sin embargo, las consecuencias de esta decisión pueden ser drásticas. Los hackers saben que la seguridad de las empresas pequeñas suele ser menor, aunque los clientes siguen visitando estas tiendas y pagando con las mismas tarjetas. Es posible que la cantidad de datos de tarjetas de pago sea menor, pero también más fácil de obtener, de modo que tan pronto como las empresas más grandes mejoran sus defensas, los delincuentes centran su atención en objetivos más pequeños. Las medidas de protección que recomendamos son las siguientes: • • • • Firewalls para la segmentación de la red a fin de aislar lo más posible los sistemas de PoS de otras redes. Cifrado punto a punto, si es posible. Software de seguridad con funciones de supervisión, gestión de vulnerabilidades y control de aplicaciones, así como antifraude. Restricción del número de personas con acceso autorizado al CDE y el uso de autenticación de dos factores en todos los puntos de entrada. Y, evidentemente, toda la infraestructura debe estar protegida para minimizar los riesgos de intrusión y el personal debe recibir capacitación regularmente para prevenir ataques de phishing y demás trucos de los cibercriminales. Texto original: What is PoS malware and why does it cost millions por Yuri Ilyin © 2014 Kaspersky Lab ZAO. Todos los derechos reservados. Las marcas comerciales y marcas de servicio registradas son propiedad de sus respectivos dueños. 5