La mayoría de los clientes que hacían fila en un restaurante Wendy's de comida rápida en Nebraska sólo tenían la intención de comprar una hamburguesa o un café. Para la suerte de esos clientes, obtuvieron su comida y bebida. Pero para su mala suerte, en el momento que salieron del establecimiento, los cibercriminales ya habían accedido al sistema de punto de venta (POS por sus siglas en inglés) de Wendy's y habían robado miles de registros de tarjetas. ¿Cómo es posible que sucediera algo así? Extrañamente, la cadena de comida rápida tenía una solución de seguridad instalada en su terminal, pero no la había actualizado oportunamente, lo que puso en peligro la información de los clientes y la reputación del negocio.
Los ataques a POS han crecido en los últimos años, con el surgimiento de nuevas violaciones como Código Rojo, SQL y Slammer, que afectan tanto a las pequeñas tiendas minoristas como a grandes cadenas de hoteles y restaurantes. De acuerdo con el informe Verizon Data Breach Investigation report 2016, tan solo en el 2015 hubo 525 violaciones a sistemas de punto de venta que revelaron datos, sin mencionar las violaciones a las tiendas Target de 2014, que ocasionaron más de 100,000 víctimas.
Entonces, ¿por qué siguen siendo las trasgresiones a los POS una tarea por demás lucrativa para los ciberdelincuentes?
El principal motivador de los ciberdelincuentes es a menudo las ganancias que obtienen. El punto de venta físico contiene toda la información importante que se encuentra en la tira magnética de una tarjeta de crédito, lo que significa que puede ser clonada y utilizada para compras fraudulentas. Los datos de las tarjetas de pago también se pueden vender en el mercado negro de Internet y en las denominadas Dump Shops, como es el caso de McDumpals, donde los delincuentes pueden incluso filtrar las tarjetas geográficamente para que sus crímenes sean más convenientes.
Una gran cantidad de terminales punto de venta que aún dependen de la banda magnética desarrollada hace 30 años, siguen siendo un blanco muy fácil. La fructífera combinación de sistemas POS, con el acceso a Internet y contraseñas predeterminadas, hace que sea fácil para los atacantes burlar esa tecnología. Cuando no están protegidos con software especializado, los sistemas POS tienen cuatro puntos débiles básicos en su arquitectura:
- Datos que se almacenan en la memoria
- Datos no cifrados en tránsito
- Sistemas operativos no actualizados
- Configuración (contraseñas predeterminadas)
Sin embargo, mantener varias precauciones simples, como las que se citan a continuación, proporcionadas por Kaspersky Lab, empresa de seguridad cibernética, le ayudará a proteger su negocio de un ataque a punto de venta.
-
Entrenamiento de los empleados. Según el informe Verizon Breach Report 2015, la ingeniería social se está haciendo cada vez más popular como táctica empleada por los ciberdelincuentes que intentan violar los sistemas POS. Simples llamadas para engañar a los empleados y hacerles revelar los datos de contraseñas necesarios pueden permitir a un criminal obtener acceso remoto a una terminal. Asegúrese de que sus empleados lo piensen dos veces antes actuar en torno a sus sistemas POS y que saben que hacer clic de forma casual en enlaces de redes sociales y archivos adjuntos en el correo electrónico mientras se encuentran en el lugar de trabajo, especialmente en una máquina de punto de venta, es inaceptable.
-
Mantenimiento de la contraseña. Una vez instalado un sistema POS, no deje de cambiar la contraseña predeterminada del sistema. Además, cerciórese de que cada empleado tenga su propio acceso a la máquina, que las contraseñas individuales no se compartan y que estas contraseñas se cambien regularmente. Si un empleado deja de trabajar para la empresa, asegúrese de que su contraseña sea eliminada del sistema.
-
Conexiones de bloqueo. Verifique que los sistemas Wi-Fi de su empresa estén protegidos por contraseña y que cada conexión a Internet tenga un firewall.
-
Limite el acceso físico. Debido a que los ciberdelincuentes sólo necesitan una breve ventana de tiempo para manipular un sistema punto de venta, asegúrese de que la terminal esté siempre atendida. Instale una barrera física alrededor de la terminal para limitar la capacidad de un cliente de interactuar con cualquier lector de tarjetas de crédito o puertos USB en el equipo.
-
Asegúrese de que el sistema operativo principal de cada máquina se actualice. Cuando capacite a los empleados, corrobore que sepan que no deben hacer caso omiso a los mensajes para bajar actualizaciones del sistema de Windows y actualizaciones de las aplicaciones.
-
Instale el mejor software especializado de seguridad POS que pueda encontrar. Los ataques contra las tiendas minoristas emplean en gran medida programas maliciosos avanzados, y por eso es vital contar con protección dedicada para las terminales de punto de venta. Para proteger a las empresas de las estratagemas utilizadas por los transgresores de POS, Kaspersky Lab ha presentado Kaspersky Embedded Systems Security, una solución diseñada para la protección de los sistemas de tarjetas de pago. También es importante mantener al día el software de seguridad, así que asegúrese de que todos los parches o actualizaciones de la base de datos sean instalados cuanto antes.
-
Administre el acceso a la web. Es una buena idea bloquear completamente la navegación por Internet en terminal punto de venta para los empleados. Cuando se necesite utilizar el Internet, se puede limitar el acceso a ciertos sitios web. Por ejemplo, con Kaspersky Small Office Security, los propietarios de negocios pueden evitar que los empleados visiten ciertos tipos de sitios (como redes sociales) y descarguen programas.
- Cifrado y copia de seguridad. En muchos países, cualquier negocio que almacene datos de los clientes requiere por ley que esos datos se cifren. Incluso si no es requerido, siempre se recomienda cifrar los datos de pago. Además, asegúrese de que toda la información crítica del negocio esté respaldada en un disco duro externo o sea almacenada en la nube. Cifrar los archivos de esta copia de seguridad también puede evitar que se borren accidentalmente.
Ahora que más países, entre ellos Estados Unidos, adoptan las tarjetas con circuito integrado, el mundo se vuelve más seguro. Esto da motivos a los hackers informáticos para dirigir sus ataques a los sistemas punto de venta deficientes. Para evitar estar en la lista, las empresas de tiendas minoristas y restaurantes deben asegurarse de que han hecho todo lo posible para que los datos de sus clientes estén a salvo.
Por: Redacción Kaspersky Lab Colombia
0 Comentarios
Deje su comentario