Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

¿Qué es el malware de PoS y por qué cuesta

Anuncio 
¿Qué es el malware de PoS y por qué
cuesta millones?
Hace un tiempo, algunos proveedores de seguridad alertaron sobre otro malware
llamado "Backoff" que ataca los puntos de venta (PoS). Aunque el malware, por sí
solo, es más que suficiente para provocar una alerta del US-CERT (es decir, es muy
grave), el malware de PoS suele representar un problema mayor y de larga
duración que no debe verse solamente como una serie de incidentes aislados.
Aunque no se ignorara por completo, hasta que no se produjo la inmensa filtración
de datos que sufrieron las cadenas de grandes almacenes Target y Neiman Marcus
el año pasado, el problema de PoS no comenzó a recibir atención pública, a pesar
de que el malware de PoS llevaba propagándose por varias empresas al menos
desde 2008. En la actualidad, la infección de los endpoints de los puntos de venta
llega a niveles “industriales”: los cibercriminales han descubierto el punto de ataque
más próximo al dinero de otras personas.
Por lo tanto, ¿a qué nos estamos enfrentando? ¿Qué es el malware de PoS?
En la mayoría de los casos, por no decir todos, la función principal de este malware
es el “rastreo de la memoria RAM” de un dispositivo o servidor; es decir, el análisis
del endpoint del punto de venta para localizar y robar datos como números de
tarjetas bancarias antes de su cifrado. Desafortunadamente, existe una puerta
abierta para este tipo de sustracción de datos. Según Brian Donohue, quien abordó
exhaustivamente el tema del malware de PoS en un artículo anterior, cuando los
servidores de pago reciben los datos de las tarjetas, estos ya están cifrados. Sin
embargo, hay un breve periodo de tiempo en el que la información debe
descifrarse a texto sin formato para poder efectuar la autorización del pago (en
1
sistemas sin cifrado punto a punto). Ese es el momento en el que la caja
registradora (o un servidor próximo, según el sistema) almacena los datos de pago
como texto sin formato en su memoria de acceso aleatorio (RAM). Y es aquí donde
aparece el malware de PoS como BlackPOS o Backoff, entre otros.
Los rastreadores de RAM suelen introducirse en los procesos en ejecución y
pueden interceptar datos confidenciales de la memoria en un instante. Por
supuesto que existen ciertas complicaciones técnicas: por ejemplo, los datos sin
filtrar “analizados” de la RAM de los endpoints de PoS (es decir, volcados completos
de la memoria) se acumulan en gigabytes y no parece que transferirlos resulte tan
fácil (ya que se activaría una “alerta roja” de tráfico que avisaría a los
administradores del sistema). Cuanto menos datos se transgredan, menor será el
riesgo de que el malware sea detectado y eliminado. Al parecer, el malware está
programado para filtrar exactamente los datos que más interesan a los
delincuentes: los datos de las pistas 1 y 2 registrados en la banda magnética de la
tarjeta. En la pista 1 se encuentra la información asociada con la cuenta real e
incluye elementos como el nombre del titular de la tarjeta o el número de la
cuenta. La pista 2 contiene información como el número de la tarjeta de crédito y
la fecha de caducidad.
Estos datos bastan para realizar compras a distancia, a menos que la tarjeta
requiera una autorización adicional de su titular, como la introducción del PIN, en
cada compra. Las nuevas tarjetas con chip y PIN están mejor protegidas contra el
fraude con malware de PoS, pero su seguridad no es inquebrantable.
2
Brian Donohue señala que la enorme filtración de datos que sufrió Target
solamente fue posible porque los atacantes se atrincheraron en un servidor con la
infraestructura de procesamiento de pagos de Target.
“En el caso de Target, es probable que los atacantes transfirieran su malware
de PoS desde un servidor o una máquina ubicados o conectados de forma
centralizada a los endpoints o servidores del punto de venta en los que tenía
lugar el proceso de autorización. De lo contrario, habrían tenido que instalar
el rastreador de la RAM en todos los endpoints de cada centro de Target, lo
cual es altamente improbable, cuando no imposible”, comentó Donohue.
Aun así, los endpoints de PoS se encuentran entre los puntos más vulnerables de la
infraestructura de los establecimientos debido a una serie de motivos técnicos. En
primer lugar, los dispositivos de PoS no tienen nada de especiales en lo que
respecta al hardware y al software. Aunque estén equipados con caja registradora y
lector de tarjetas, son básicamente equipos normales, especialmente aquellos
sistemas integrados de los establecimientos más grandes. Y están basados en
sistemas operativos para uso (casi) general, como Windows Embedded o Unix.
Por ejemplo, la edición de 2009 de Windows Embedded es el mismo Windows XP
adaptado para utilizarse con endpoints de PoS y otros sistemas similares. En este
sentido, el sistema operativo Windows Embedded for Point of Service lanzado en
2006 está basado en Windows Embedded. Posteriormente, Microsoft lanzó en
2009 Windows Embedded POS Ready, que también es una versión
actualizada/revisada de Windows XP. En 2011 y 2013 se lanzó Windows Embedded
POS Ready 7 y 8, basados en Windows 7 y 8, respectivamente. Sin embargo, como
es de esperar, la implementación no es inmediata, y muchos establecimientos
tardan en deshacerse de los dispositivos más viejos con software antiguo instalado,
por lo que mantienen todas las vulnerabilidades de Windows XP y otros sistemas, y
siguen siendo susceptibles al malware. Y no se puede decir que este último
aparezca en pocas ocasiones.
Por ejemplo, la edición de 2009 de Windows Embedded es el mismo Windows XP
adaptado para utilizarse con endpoints de PoS y otros sistemas similares. En este
sentido, el sistema operativo Windows Embedded for Point of Service lanzado en
2006 está basado en Windows Embedded. Posteriormente, Microsoft lanzó en
2009 Windows Embedded POS Ready, que también es una versión
actualizada/revisada de Windows XP. En 2011 y 2013 se lanzó Windows Embedded
POS Ready 7 y 8, basados en Windows 7 y 8, respectivamente. Sin embargo, como
es de esperar, la implementación no es inmediata, y muchos establecimientos
tardan en deshacerse de los dispositivos más viejos con software antiguo instalado,
por lo que mantienen todas las vulnerabilidades de Windows XP y otros sistemas, y
siguen siendo susceptibles al malware. Y no se puede decir que este último
aparezca en pocas ocasiones.
Además, aunque Microsoft ya ha dejado de ofrecer soporte para Windows XP,
mantendrá el soporte para Windows Embedded POS Ready 2009 hasta 2016. Eso
3
significa que lo más probable es que estos dispositivos se sigan utilizando durante
mucho tiempo.
Y una cosa más: debido a que los dispositivos de POS son en realidad equipos
normales, también se pueden utilizar (y, de hecho, se utilizan, especialmente en
empresas pequeñas) para “fines generales”, como la navegación por la web y el
correo electrónico. Por lo tanto, estos dispositivos pueden ser atacados
directamente por delincuentes.
Si utiliza sistemas operativos de uso general, puede recibir ataques de
malware con fines no tan generales
Las normas de seguridad actuales recomiendan, pero no exigen, aislar el entorno
de datos de titulares de tarjetas (CDE) de otras redes, incluida la web pública. Sin
embargo, debido a que los sistemas de PoS necesitan mantenimiento, deben
admitir sistemas como los servidores de protocolo de hora de la red y permitir
también la exportación de los datos comerciales y de otro tipo a otros sistemas,
con lo que el aislamiento total es poco práctico o incluso imposible. En entornos
comerciales consolidados, los sistemas de PoS al menos están separados del
ámbito público de Internet, pero siguen existiendo medios para acceder a la red
empresarial general, lo que puede ser y es explotado por delincuentes, quienes
recopilan valiosos datos de tarjetas de pago que posteriormente venden en el
mercado negro.
Para las empresas afectadas siempre se traduce en enormes pérdidas,
independientemente de la magnitud de los daños económicos reales para los
titulares de las tarjetas de pago (es decir, de si los clientes perdieron su dinero o
4
no): gastos de varios millones para todo tipo de control de daños, asistencia a las
víctimas cuyos datos se filtraron, asesoramiento legal, indemnizaciones como
resultado de posibles demandas colectivas de los clientes, medidas técnicas, etc.
Para Target Corp, la enorme filtración de datos del año pasado supuso gigantescas
pérdidas financieras y de reputación. Además, el director de tecnologías de la
información tuvo que renunciar en marzo y Target anunció en mayo que su
director ejecutivo también dejó el cargo.
Algo así no supone la quiebra de toda la empresa. Pero para empresas más
pequeñas incidentes como este pueden resultar fatales. Además, las empresas
pequeñas se han convertido en el siguiente objetivo de los delincuentes
programadores de malware de PoS. ¿Por qué? Porque los grandes
establecimientos han aprendido la lección y, aunque las cosas vayan mal, han
aumentado sus niveles de seguridad. Tienen recursos para ello.
Pero, para las empresas pequeñas, cambiar el sistema operativo de sus dispositivos
de PoS y reorganizar su infraestructura de TI de modo que la filtración del
procesamiento de los pagos sea un obstáculo que disuada a los delincuentes,
puede resultar problemático, y los dueños de estas empresas a menudo prefieren
cruzar los dedos y asumir los riesgos en lugar de gastar recursos para protegerse.
Sin embargo, las consecuencias de esta decisión pueden ser drásticas.
Los hackers saben que la seguridad de las empresas pequeñas suele ser menor,
aunque los clientes siguen visitando estas tiendas y pagando con las mismas
tarjetas. Es posible que la cantidad de datos de tarjetas de pago sea menor, pero
también más fácil de obtener, de modo que tan pronto como las empresas más
grandes mejoran sus defensas, los delincuentes centran su atención en objetivos
más pequeños.
Las medidas de protección que recomendamos son las siguientes:
•
•
•
•
Firewalls para la segmentación de la red a fin de aislar lo más posible los sistemas
de PoS de otras redes.
Cifrado punto a punto, si es posible.
Software de seguridad con funciones de supervisión, gestión de vulnerabilidades y
control de aplicaciones, así como antifraude.
Restricción del número de personas con acceso autorizado al CDE y el uso de
autenticación de dos factores en todos los puntos de entrada.
Y, evidentemente, toda la infraestructura debe estar protegida para minimizar los
riesgos de intrusión y el personal debe recibir capacitación regularmente para
prevenir ataques de phishing y demás trucos de los cibercriminales.
Texto original: What is PoS malware and why does it cost millions por Yuri Ilyin
© 2014 Kaspersky Lab ZAO. Todos los derechos reservados. Las marcas comerciales y marcas de servicio registradas son
propiedad de sus respectivos dueños.
5
Documentos relacionados
10 consejos para evitar el malware y los virus informáticos
10 consejos para evitar el malware y los virus informáticos
+RZ 7R 0LFURVRIW :LQGRZV
+RZ 7R 0LFURVRIW :LQGRZV
Objetivos En una primera etapa el objetivo es alcanzar el
Objetivos En una primera etapa el objetivo es alcanzar el
Importancia de la Administración de empresas
Importancia de la Administración de empresas
Trailer - Carro portaherramientas
Trailer - Carro portaherramientas
Objetivos claros Soluciones simples
Objetivos claros Soluciones simples
Windows 98 y Millenium
Windows 98 y Millenium
niryara - Entelgy
niryara - Entelgy
La gestión de personal implica administrar los recursos humanos
La gestión de personal implica administrar los recursos humanos
Coordinador General - Uruguay Smart Services
Coordinador General - Uruguay Smart Services
Descargar
Anuncio
Anuncio