Por Daniel Brody, Product Marketing Manager en Easy Solutions
Casos como el del ataque a la cadena minorista Target entre noviembre y diciembre de 2013 nos deja lecciones que aprender.
El 11 de diciembre de 2013, antes de que Target, la segunda cadena minorista más grande en Estados Unidos, hiciera público el robo de datos del que fuera víctima entre el 27 de noviembre y el 15 de diciembre, el equipo de monitoreo de Easy Solutions detectó un comportamiento extraño en la venta de datos del mercado negro de tarjetas de crédito, donde los cibercriminales venden los datos robados.
Un incremento de entre 10 y 20 veces más de lo normal en las tarjetas a la venta en el mercado clandestino fue detectado a través del servicio de Easy Solutions DMS (Detect Monitoring Service, por sus siglas en ingles). En este momento, el equipo se dio cuenta que un ataque masivo había ocurrido y alertamos a nuestros clientes. Lo interesante en ese momento fue que más de 500,000 tarjetas no eran de origen estadounidense y un altísimo porcentaje era de origen latinoamericano.
Los datos de tarjetas robadas se comercializan con precios que van desde 20 a 100 dólares por tarjeta, mediante una variedad de sistemas de pago irreversibles e imposibles de rastrear que incluyen moneda virtual y servicios de transferencias como Western Union y MoneyGram. Se sabe que los números PIN robados en el ataque se encontraban encriptados, pero en caso de que los criminales lograrán vencer estos sistemas de encriptación, estarían en capacidad de retirar dinero de cajeros electrónicos como si se tratara del usuario legítimo. La información personal robada en el incidente, asimismo podría ser utilizada en ataques dirigidos de phishing cuyo objetivo sería robar las credenciales de acceso bancario de los usuarios. Sólo el tiempo dirá cuántos fraudes serán perpetrados con la información robada; al día de hoy, Target y las compañías de tarjetas de crédito están todavía tratando de evaluar la extensión del ataque.
El 18 de diciembre de 2013, el reconocido bloguero de seguridad Brian Krebs fue el primero en difundir la noticia: Target, la cadena minorista, había sido víctima de un serio robo de datos de tarjetas débito y crédito que afectó a millones de usuarios. Al día siguiente, Target confirmó que un hackeo ocurrido del 27 de noviembre al 15 de diciembre de 2013 comprometió 40 millones de tarjetas débito y crédito de sus clientes. Los atacantes lograron tener acceso a nombres de clientes, números de tarjeta, fechas de expiración y códigos CVV de seguridad. Más tarde, Target tuvo que revisar su evaluación inicial del ataque al revelarse más detalles. Los hackers también se habían apoderado de números PIN encriptados, y asimismo, otros 70 millones de personas habían sufrido el robo de su información personal como nombres, direcciones de correspondencia, números telefónicos y direcciones de email en un ataque separado.
Este robo de datos ha sido denominado como el segundo ciber-ataque más grande en la historia a un comercio minorista. En Latinoamérica el ciber-crimen cuesta miles de millones de dólares cada año. En 2002, las pérdidas por este tipo de fraude ascendieron a 8 billones de dólares en Brasil, en México fueron de 3 billones y en el caso de Colombia se estima unos 464 millones.
En el caso del impacto a las finanzas de Target, este problema ha sido muy real: la compañía ha tenido que reducir considerablemente sus predicciones de ganancias para el cuarto trimestre, esto debido en parte a que sus ventas han sido mucho más bajas de lo esperado desde que los reportes del ciber-ataque comenzaron a surgir. Las acciones públicas de Target han perdido alrededor del 10% de su valor desde que la compañía admitió haber sufrido el ataque, y a finales de enero de este año, la cadena minorista anunció que eliminará 475 trabajos y que no ocupará las 700 vacantes que tenían disponibles, reflejando así la pesimista perspectiva económica de Target para 2014.
Además, aún no se conocen los costos por pleitos legales y defensa en tribunales que la cadena tendrá que asumir, ya que los clientes y pequeños bancos han presentado más de 70 demandas legales argumentando que Target no había protegido los datos de sus clientes de manera apropiada.
Mucho se ha dicho sobre este caso, pero más nos vale entender la realidad de cómo sucedió este ataque y así poder generar lecciones aprendidas para aplicar en otras oportunidades.
Si bien la investigación de los hechos aún se encuentra activa, ya se ha esclarecido algo de los mismos. El CEO de Target, Gregg Steinhafel confirmó en una entrevista que los atacantes robaron los datos mediante la instalación de un software malicioso en los dispositivos de pago de los puntos de venta (POS, por sus siglas en inglés) de las tiendas. Normalmente, la información contenida en la banda magnética de una tarjeta se almacena momentáneamente como texto simple en la memoria RAM del dispositivo POS hasta que es enviada de forma cifrada a la institución financiera para su verificación.
El malware capturaba los datos de la banda magnética en el momento en que la tarjeta era pasada por el dispositivo y los datos se almacenaban como texto simple. Luego, los hackers instalaron un servidor de control dentro de la misma red interna de Target que funcionaba como depósito para la información recolectada por los dispositivos de punto de venta infectados, manteniéndola escondida hasta su envío por lotes a un servidor FTP externo. Al parecer este malware fue especialmente diseñado para evitar ser detectado por las herramientas anti-virus tradicionales que protegían el sistema POS.
Armados con la información robada de las tarjetas, los hackers podrían clonar las tarjetas y utilizarlas para realizar compras de mercancía costosa o para comprar bonos de regalo que luego pudieran cambiar por efectivo. Los hackers también han vendido los datos robados en el mercado negro.
El malware que afectó a Target buscaba la información de las cuentas en la memoria de los dispositivos de los puntos de venta, de esta manera los criminales lograron conseguir la información directamente de las terminales, robando así datos que incluían nombres, direcciones postales, direcciones de correo electrónico, números de teléfono y números de tarjetas que luego les permitirían vender esta información a otros criminales para terminar el fraude.
En los momentos posteriores al robo, Target trató de controlar los daños. Ofrecieron el 10% de descuento a todos los clientes por unos días, pero muchos interpretaron esta acción como un desesperado intento por parte de Target de mantener las ventas elevadas durante la temporada Navideña. Igualmente trataron de ser cuidadosos al revelar la noticia a las víctimas del ataque, pero esto se vio como obstrucción. Incluso la poca información que Target compartió con sus clientes tuvo que ser sometida a revisión debido a que el análisis forense reveló otras conclusiones; la postura original de Target de que no había existido robo de números PIN tuvo que ser cambiada ya que al parecer sí había ocurrido. Esto llevó a que muchos clientes pensaran que Target estaba tratando de esconder algo. La confianza de los clientes que Target había construido con el paso de los años se derrumbó en un instante. ¿Cuánto tiempo pasará para que los clientes afectados perdonen a Target?
Las instituciones financieras han aprendido que es preferible tomar un enfoque proactivo con respecto a la solución de fallas de seguridad que sufrir los terribles daños a la reputación producidos por una violación de datos. Sin embargo, el ataque a Target ocurrió en las terminales POS de las tiendas, una infraestructura de terceros fuera del alcance de los bancos.
Los sistemas de pago conforman un ecosistema en sí mismos, no sólo incluyendo instituciones financieras, sino también redes de pago, compañías de tarjetas de crédito, adquirientes mercantiles y comerciantes, cada uno decidiendo sobre sus propios estándares de seguridad y sus controles contra fraude. La violación a Target revela que no hay forma de garantizar que el fraude no pueda afectar a los usuarios de una institución financiera, entonces ¿qué pueden hacer para protegerse?
Monitoreo de Mercados Negros
Incluso antes de que la violación a Target se hiciera pública, la información de las cuentas débito y crédito inundó los foros clandestinos y los mercado negros que trafican con este tipo de información, vendiéndose en lotes de hasta un millón de tarjetas en algunos casos. Muchos de estos sitios garantizan la validez de la información que roban, incluso ofrecen un reemplazo si alguna de las tarjetas está bloqueada! Estos foros son de extensión global y están fuera del alcance de poderosas agencias gubernamentales como el FBI en Estados Unidos. El anonimato ofrecido por internet les facilita a los criminales comercializar estas tarjetas robadas online; encontrar a los responsables de estos fraudes es de por sí casi imposible, pero judicializarlos lo es aún más.
No obstante, en Easy Solutions creemos que las instituciones financieras pueden tomar ciertas medidas para protegerse a sí mismas y a sus usuarios. Si bien los sistemas anti-virus y de firewall tradicionales siguen siendo útiles en la protección contra amenazas fácilmente reconocibles (para las cuales los proveedores de sistemas anti-virus han tenido tiempo de desarrollar herramientas), no hacen mucho ante los nuevos ataques dirigidos, que incluso cuentan con malware modificado diariamente para atacar blancos específicos, como fue el caso de Target.
Existe incluso una manera de utilizar la información en los mercados negros para su propio beneficio si llegado el caso los datos de tarjetas de su banco han sido violados. Los vendedores de tarjetas robadas normalmente deben publicar en su sitio web al menos una porción de los números de tarjetas robadas para que los compradores potenciales sepan que estos son legítimos y estén dispuestos a pagar por ellos. Así cuando menos, se mostrarán los números de identificación bancaria de cada tarjeta cuando estén puestas a la venta. El monitoreo de los miles de mercados negros en busca de tal información es clave para desarmar los planes de los cibercriminales de utilizar las tarjetas débito y crédito de sus usuarios.
Easy Solutions ofrece el monitoreo de mercados negros como parte de nuestro Detect Monitoring Service (DMS) para proveer a nuestros clientes con avisos tempranos sobre violaciones masivas de tarjetas débito o crédito como la que afectó a Target y que involucró a casi todos los bancos y cooperativas de crédito en los E.U. Aunque es muy poco lo que las instituciones financieras están en capacidad de hacer para prevenir este tipo de violaciones, la protección proactiva de DMS descubre indicadores clave y provee una pronta asesoría a las instituciones sobre qué tarjetas han sido robadas para que sean canceladas antes de que el fraude ocurra.
Inteligencia de Redes Sociales
Unas semanas más tarde, después de que Target admitiera que 40 millones de sus números de tarjeta habían sido robados, reconoció asimismo que la información personal de 70 millones de usuarios, incluyendo números telefónicos y direcciones de email y de residencia, estaba también comprometida. Si bien esta cifra representa un tercio de la población adulta de Estados Unidos, a primera vista no parece tan grave como la violación de datos de tarjetas, ya que esta información no puede ser utilizada para realizar pagos por sí sola.
Pero de alguna forma, los ciber-criminales se las arreglarán para que esta información tenga algún valor. En casi cualquier red social, usted puede ingresar estos datos y obtener abundante información útil que luego pude ser utilizada en esquemas de “spear-phishing” diseñados específicamente para hacer que el personal clave de una empresa permita el ingreso de malware en sus dispositivos. En Facebook, Twitter o LinkedIn, existe un volumen tan grande de información abierta al público que es muy fácil elaborar un mensaje creíble que engañe a los incautos.
Igualmente existe la posibilidad de emplear estas populares plataformas sociales para propagar ataques. Target ya ha reportado que trabaja con compañías de medios sociales para desactivar una docena de estafas de phishing que empleaban el ataque a Target como método para engañar a los usuarios para que estos revelaran aún más información sensible como credenciales o contraseñas bancarias2. Cuando se habla de 70 millones de personas que pueden ser víctimas potenciales de ataques de fraude, intentar protegerlos a todos comienza a parecer una tarea colosal.
Educar a sus usuarios para que nunca accedan a enlaces de redes sociales que parezcan maliciosos es de mucha utilidad pero no es suficiente; muy a menudo los ataques “spear-phishing” cuentan con tan buena fundamentación que pueden desorientar hasta al más astuto de los observadores. Lo que es peor, frecuentemente estos ataques están diseñados para afectar a empleados específicos de una institución con el objetivo de ganar acceso a los servidores y bases de datos más protegidos.
Aparte del monitoreo de tarjetas de crédito y débito comprometidas en los mercados negros, DMS también le brinda a su compañía Inteligencia de Fraude con lo cual la buena reputación de su marca se mantiene segura al convertir las menciones de ésta en acciones proactivas contra fraude. Este sistema abarca el monitoreo de dominios y de aplicaciones móviles además de redes sociales. Al escanear constantemente estos potenciales entornos para el fraude, usted estará enterado de primera mano acerca de cualquier mención que se haga de su marca. Combinando esto con un sólido plan de acción, su identidad de marca estará segura mientras que los incidentes de fraude asociados a su compañía se reducirán.
Igualmente, DMS monitorea las principales tiendas de aplicaciones como Apple iTunes, Google Play, BlackBerry y tiendas de terceros. Las aplicaciones legítimas son registradas en el servicio y en caso de detectar aplicaciones sospechosas, se enviarán las notificaciones oportunas. El componente de monitoreo de dominios de DMS investiga los dominios más recientes en busca de material asociado a su marca. Incluso los sitios web fraudulentos deben ser registrados durante el proceso de creación y DMS monitorea constantemente los servicios de registro de dominios en busca de actividad sospechosa que pueda resultar en ataques de fraude online. Todos los dominios sospechosos son clasificados para su revisión en el portal para el cliente e inmediatamente se activan las notificaciones a los clientes correspondientes.
Incluso los sitios web fraudulentos deben ser registrados durante su creación y DMS constantemente monitorea los servicios de registro de dominios en busca de actividad sospechosa que pueda resultar en ataques de fraude en línea. Todos los dominios registrados que parezcan sospechosos son clasificados para su revisión en el portal de clientes e inmediatamente se envían las notificaciones a las partes interesadas. Aunque no existe una única solución que prevenga completamente la activación y lanzamiento de ataques de phishing, DMS le brinda a su negocio las herramientas, no sólo para minimizar la efectividad de los ataques, sino para desactivarlos totalmente sin importar en qué parte del mundo se originan. DMS va un paso más allá de la prevención y desactivación de ataques de phishing, pharming y malware para ofrecer protección de marcas, tarjetas y plataformas móviles o en línea en una sola solución integral que asegura que violaciones de datos como la que sufrió Target no afectarán a su compañía ni a sus usuarios.
Monitoreo Transaccional
A finales de Enero, otro gran lote de más de 2 millones de tarjetas se reveló en los mercados negros, más de un mes después de que se anunciara la violación a Target. Luego de todos los reportajes en televisión, de los miles de artículos de prensa y de las varias semanas de cobertura del mayor caso de seguridad informática en mucho tiempo, otros 2 millones tarjetas provenientes de la violación a Target salen a la venta como si nada hubiera pasado.
El factor principal que define el precio de una tarjeta robada en el mercado negro es su validez. Las tarjetas se venden por lotes o individualmente y su precio se ajusta según el porcentaje de tarjetas válidas en uno de estos lotes. No obstante, una tarjeta sólo es válida si el banco la expide de nuevo y este proceso puede llegar a costar entre 1 y 6 dólares por tarjeta. Obviamente, 40 millones de tarjetas no van a ser reemplazadas de la noche a la mañana y si son depositadas simultáneamente en los mercados negros, los criminales no podrán exigir por los números los altos precios que desean, ya que demasiada oferta disminuye los precios. Esto significa que una violación como la sufrida por Target tiene un tiempo de vida muy largo, y tanto millones de norteamericanos como personas en otros países que eran clientes de esta cadena tendrán sus tarjetas circulando en los mercados negros por mucho tiempo, incluso después de que esta noticia sea olvidada.
Pero ¿cómo puede un banco determinar si el fraude está ocurriendo con esas tarjetas, si los criminales que las robaron pretenden suplantar a los usuarios legítimos al momento de pagar? Los criminales detrás de la violación a Target están esperando a que todo el furor desatado por el robo se apague para poder usar las tarjetas sin tanta vigilancia como la que se está aplicando ahora. Afortunadamente, nunca antes ha sido tan fácil y tan económico para las instituciones financieras examinar exhaustivamente sus medidas anti-fraude y proteger sus activos y sus usuarios contra el tipo de skimming que actualmente ocurre después de la violación.
Los Beneficios de la Protección contra Fraude de Múltiples Niveles
Las organizaciones serias en lo referente a la protección contra fraude necesitan construir sistemas lo suficientemente flexibles para adaptarse al cambiante entorno del fraude, mientras que protegen a los usuarios a través de todos los canales y dispositivos. La única forma de lograr esto es mediante sistemas que se complementen y compartan datos para fortalecerse entre sí. La Protección Total contra Fraude® de Easy Solutions está diseñada para lograr una profunda integración tecnológica y aprovechar al máximo los datos para detener el fraude en cualquier etapa de su ciclo de vida: planeación, donde el criminal inicia la búsqueda de vulnerabilidades en su infraestructura que pueda explotar; el lanzamiento, cuando el criminal roba contraseñas o infecta el dispositivo de un incauto usuario con malware; y recolección de las ganancias, donde el dinero sale de la cuentas. Si su negocio está sufriendo pérdidas por fraude, es porque un criminal ha completado exitosamente este ciclo sin ser detectado.
Mediante un enfoque preventivo anti-fraude que impide que los criminales completen el ciclo del fraude, la Protección Total contra Fraude® detiene los ataques durante las etapas de planeación y lanzamiento, antes de que inicien operaciones y activen otros factores de autenticación basados en anomalías transaccionales. Aunque cada producto es lo suficientemente flexible para ser desplegado por su cuenta y reforzar sistemas de seguridad preexistentes, todos nuestros productos comparten modelos de datos, arquitecturas y APIs, haciendo de la Protección Total contra Fraude® su único destino para cubrir todas sus necesidades de protección anti-fraude de inicio a fin.
Como demostró la violación de Target, no existe una solución mágica para prevenir el fraude, e incluso los mejores planes no pueden evitar que un tercero irresponsable pierda el control sobre los datos más sensibles de sus usuarios. La Protección Total contra Fraude® aplica un enfoque multinivel a través de todas las capas de interacción con los usuarios para administrar y minimizar el riesgo en el siempre cambiante panorama del fraude, además de brindarle a su negocio las herramientas que le permitirán maximizar el potencial del comercio electrónico y móvil.
El robo de datos y los ciber-ataques son una realidad ¿Cómo enfrentar estas amenazas? http://t.co/QZF4vMgSOV vía @ebankingcl
Noticia EBanking – El robo de datos y los ciber-ataques son una realidad ¿Cómo enfrentar estas amenazas? http://t.co/iLmX9nCrPg