Los más grandes robos de tarjetas de crédito

Recientemente he notado que la publicidad sobre promociones y descuentos sobre productos “necesarios” para las celebraciones de las fiestas navideñas están “invadiendo” los sitios web que muestran publicidad en cada una de sus páginas. En su mayoría son sitios de compras online, por lo que el usuario debería conocer un poco de historia acerca de las brechas de seguridad que alguna vez hicieron perder a muchas personas grandes cantidades de dinero. Esta publicación no la comparto con el objetivo de de decir que hay que ser temerosos con estos mecanismos de compras, sino que es más para tener en cuenta las medidas de seguridad que se pueden tomar teniendo en cuenta los errores cometidos durante la trayectoria del desarrollo de las tecnologías de seguridad en las telecomunicaciones.

Si bien es cierto, existen muchos mecanismos de seguridad para evitar que se extraiga dinero de una tarjeta robada, no son eficaces si no son implementados a tiempo, y esto es una responsabilidad del tarjetahabiente y el personal encargado de ejecutarlos. Esto implica que por muy seguro que sea un sistema, si en algún punto depende del factor humano, existen brechas de seguridad que deben ser vigiladas muy de cerca.

Para compreder un poco mejor la responsabilidad de las empresas a través de sus trabajadores y la de los usuarios a través de sus acciones, veamos algunos robos millonarios que se han registrado  en la historia (según el sitio Wired):

Caso de las tiendas Target (Navidad de 2013)

En noviembre de 2013, el sistema de seguridad y pagos de las tiendas Target fue hackeado, se instaló un malware que escaneaba la información de la tarjeta de crédito del cliente cuando el cajero de la tienda efectuaba el cobro, el código malicioso enviaba los datos a un servidor gestionado por los piratas informáticos. Target le pagaba a la empresa FireEye (en la India) para monitorear sus sistemas y detectar intrusiones en tiempo real, esta empresa detectó el software malicioso e informó a la Central de Target, sin embargo, no se le dió seguimiento a esta advertencia. El 2 de diciembre se detectó una nueva versión del malware (los hackers hasta tuvieron tiempo de mejorar su código), según información de los investigadores, para el 12 de diciembre el malware seguía en ejecución y se estimaba que más de 40 millones de clientes habían sido afectados y más de 70 millones para el mes de enero, cuando Target decidió informar a sus clientes acerca de lo sucedido.

Según la publicación de Wired, Target cumplió con la implementación de sistemas de seguridad, funcionaban exactamente a como fueron diseñados, se detectaban las vulnerabilidades y se informaba a los trabajadores, sin embargo estos no tomaron las medidas necesarias para evitar que el robo de información desde sus redes continuara.

Caso de CardSystems Solutions

CardSystems Solutions, una compañía de procesamiento de tarjetas ya desaparecida en Arizona, tiene la distinción de ser la primera empresa importante de ser violada tras la aprobación de la ley de notificación de violación de California en 2002 – la primera ley en el nación que requiere a las empresas a informar a los clientes cuando sus datos sensibles ha sido robado. Los intrusos colocaron un script malicioso en la red de la empresa, que fue diseñado para rastrear los datos de transacciones de tarjetas,se extraían los nombres, números de tarjetas y códigos de seguridad de unos 40 millones de tarjetas de débito y crédito y eran expuesto a los piratas informáticos. CardSystems estaba almacenando datos de la transacción no cifradas.

Caso de TJX

La información de 94 millones de tarjetas de TJX fue interceptada por piratas informáticos porque esta empresa enviaba la información sin cifrar a través de sus redes. Los hackers utilizaron un portatil y una antena inalámbrica para interceptar las transmisiones. Este incumplimiento de las leyes ya establecidas y descuido por los especialistas informáticos le costó a TJX cerca de $ 256 millones de dólares.

Caso de Heartland Payment Systems

Este caso está ligado al anterior gracias a que fue planeado por el mismo hacker (Albert González). González se dió cuenta que los minoristas de TJX no aportaban mucho “oro para su cofre”, por lo que decidió concentrar sus esfuerzos en Heartland Paymen Systems, quienes procesaban millones de tarjetas de múltiples negocios antes de enrutar toda esa información a los bancos respectivos para ser verificados. Se dieron cuenta que fueron hackeados en el 2008, pero les tomó casi 3 meses confirmar la violación. Para lograr este acto de piratería informático, los atacantes lograron instalar un sniffer en un servidor de Heartland y esto les costó más de $ 130 millones de dólares.

Caso Barnes y Noble

La intrusión a Barnes y Noble entró como primera en la lista de ataques involucraban las terminales de punto de venta (POS) en el 2012. No se dió información acerca de la cantidad de tarjetas que fueron afectadas, pero las investigaciones del FBI revelaron que el código malicioso fue instalado en 63 POS bajo el control de Barnes y Noble. Se descubrió que aún cuando habían más de un POS en algunas tiendas, sólo uno fue afectado con el malware en cada una de las tiendas y no se supo o no se reveló como fue instalado.

Puedes leer más sobre otros casos en el sitio de Wired, comparto el enlace en la bibliografía de esta publicación.

Somos humanos y cometemos errores

Si analizamos el caso de Target, es más que evidente que el negligencia de los trabajadores contribuyó a que se desarrollara el robo a mayor escala. En cuanto a CardSystems Solutions y TJX, el problema fue que no cifraban los datos para las transacciones y resulta que implementar esos mecanismos de seguridad de la información es responsabilidad de los desarrolladores del sistema (humanos). Los otros dos casos que aquí comparto (Hertland y Barnes y Noble) son ataques un poco más sofisticados que implican obtener acceso a la red y atacar desde el interior, algunos podríamos pensar que hubieron cómplices internos de por medio porque se hace extraño que el sniffer instalado no haya sido detectado por el administrador de sistemas o que las transacciones no hayan sido detectadas por el supervisor de red.

Se deben respetar las normas

Desde el 2005 está vigente un estándar de seguridad de datos (PCI – Payment Cards Industries del Security Standards Council) que establece los requisitos y procedimientos de evaluación de seguridad que deben cumplir las empresas que trabajan con información personal y/o financiera de sus clientes. Entre ellos tenemos que es necesario la instalación de firewall, software antivirus, cifrado de datos para la transferencia a través de la red, realización de auditorías, entre otros.

En la actualidad todas las empresas que operan comol negocios y/o comercio electrónico deben cumplir con los requisitos que se establecen en la PCI, por lo tanto se puede decir que los avances en la protección de la información del cliente y los mecanismos de protección de las transacciones monetarias han mejorado considerablemente, lamentablemente no sin antes perder millones y millones de dólares por pensar que no existen personas maliciosas con interés de tomar posesión de bienes ajenos.

Aunque la mayoría de los estándares se centran en mecanismos de cifrado, mantener la integridad y confidencialidad de la información que atraviesa “la nube” referente a transacciones bancarias, también existen leyes que regulan la forma en que las empresas deben tratar la información personal de sus clientes. Por ejemplo, en Nicaragua desde el 2012 está vigente la Ley No. 787 – Ley de Protección de Datos Personales, la cual tiene por objeto la protección de la persona natural o jurídica frente al tratamiento, automatizado o no, de sus datos personales en ficheros de datos públicos y privados, a efecto de garantizar el derecho a la privacidad personal y familiar y el derecho a la autodeterminación informativa.

Implementar la seguridad es responsabilidad del proveedor del servicio, y casi todas hacen sus mejores esfuerzos al respecto. Sin embargo, esto no garantiza que nuestra información nunca será revelada a tercera personas que harán uso ilegal con nuestra información, por lo que mejorar la seguridad de los sistemas y proteger nuestros datos también depende de nosotros como usuarios.