ARTICULOS

  • Comprometidas mas de 40 millones de tarjetas de credito

En lo que seria el tercer robo mas grande de tarjetas de credito, lo descubierto en Target, es solo la punta de un iceberg que muestra como se manejan los datos de tarjetas de credito en los Estados Unidos.

 

 

Ataque a Target en el juego del gato y el ratón del robo relacionado a tarjetas de crédito

Ocurrió en una tienda Target en Miami el jueves 19 de diciembre. Los ciberdelincuentes parecen haber fijado como objetivo los sistemas de punto de venta en las tiendas minoristas de Target, que recogen la información de las tarjetas de crédito y débito de los clientes.

Target pudo haber sido un blanco fácil para el intento de los hackers de robar información de tarjetas de crédito, pero el robo de registros de 40 millones de clientes de la tienda no fue la peor infracción de la seguridad entre los grandes minoristas en los últimos años. Y es poco probable que el incidente revelado el jueves sea el último.

Un análisis rápido a esta situación permite determinar que el hack a Target es un recordatorio de los problemas de seguridad que enfrentan muchos negocios minoristas en todos lugares y que no desaparecerán fácilmente: Existen debilidades en la forma en que la información de pago se desplaza entre los minoristas y los bancos. Hay mucho dinero que se creará en el mercado negro mediante la venta de números de tarjeta de crédito robados, desde un mínimo de 25 centavos  a $ 45 por transacción. Y las compañías estadounidenses se han mostrado renuentes a adoptar las tarjetas inteligentes con chip, un tipo de tarjeta de crédito ampliamente utilizado en Europa que ofrece una mayor seguridad.

Target dijo que desde el  27 de noviembre hasta el 15 de diciembre, los  hackers robaron nombres de clientes, números de tarjetas de crédito o de débito, fechas de expiración y códigos de seguridad de tres dígitos de 40 millones de clientes que habían hecho compras en sus tiendas. Actualmente está trabajando con un equipo de forenses de Verizon para investigar el ataque, de acuerdo con una persona que participa en la investigación. Sin embargo aún no se conoce (o al menos no se ha hecho público) en cuanto a quién estuvo detrás del ataque, cómo entraron, o cuál puede ser el costo total para Target. El jueves, los visitantes de la página web del minorista encontraron un sitio adornado en rojo y verde salvo por un aviso de seguridad blanco y negro rígido en la parte superior. Para complicar las cosas, Target fue atacado durante la temporada de compras navideñas, en que a los sistemas de detección de fraude les es bastante difícil diferenciar las transacciones legítimas de las falsas.

Puede ser incómodo para sus clientes, pero el hack a Target quedó chico  a comparación de un robo semejante hace seis años en TJ Maxx, que dio lugar a los datos robados de 90 millones de clientes, y un  ataque al procesador de tarjetas Heartland Payment Systems en el 2009, el record más grande que dio lugar al robo de 130 millones de números de tarjetas.

Los expertos en seguridad dijeron que aunque Target había instalado la seguridad de mayor vanguardia, y no estaba clara la manera en que Target protegía estos datos, no  sorprendería que los hackers encontraran una forma de entrar.

El ataque a Heartland debería haber sido una llamada de atención a las grandes instituciones financieras y minoristas sobre el hecho de  aumentar las defensas y cifrar los datos a medida que pasan de la caja registradora a los emisores de tarjetas y los bancos. Pero, por lo menos  los hackers, no parecen estar disuadidos por los cambios que los minoristas han hecho desde entonces.

Target no ha dicho cómo se vieron comprometidos sus sistemas y un portavoz se negó a decir si los sistemas de punto de venta de la compañía habían sido cifrados. Sin embargo, la mayoría de los sistemas todavía transmiten datos de crédito y débito "en texto plano," que puede ser fácilmente interceptado.

Cuando los compradores pagan por compras en tiendas con tarjetas de crédito, sus datos de pago se mueven desde el terminal de la tienda a través de la red del minorista al banco adquirente y emisor de la tarjeta de crédito. Por lo tanto en cada punto de esta transacción podría ser vulnerable.

Aun cuando los datos están cifrados, los expertos dicen que hay muchos otros puntos débiles que los delincuentes pueden fijar como objetivo. "Las cajas registradoras solían ser solamente cajas registradoras", Hoy en día, hay computadoras de todo tipo, tan vulnerables a los hackers como una PC.

 

Y los hackers tienen un incentivo. Los números de tarjetas de crédito y de débito se suelen vender en grandes cantidades en los sitios web en el mercado negro. Las tarjetas Platinum pueden valer hasta $ 35 y las tarjetas corporativas, $ 45. Los datos robados, la identidad financiera de una persona, se pueden grabar en bandas magnéticas de las tarjetas falsificadas que se pueden utilizar para las compras fraudulentas, o para comprar las tarjetas de regalo que pueden ser canjeadas por dinero en efectivo.

Los expertos también se preguntan por qué, si los ataques son recurrentes y el  fraude con tarjetas de crédito no tiene frenos - los emisores de tarjetas de crédito de Estados Unidos no han adoptado la tecnología de chip inteligente. Estados Unidos representa más del 47 por ciento de fraude de tarjetas de crédito global, y  genera sólo el 24 por ciento de los gastos de tarjeta, según Nilson Report, un boletín de la industria de tarjetas. Más de 80 países de todo el mundo utilizan la tecnología de chip, pero menos del 1 por ciento de las tarjetas de crédito en los Estados Unidos tienen los chips.

A diferencia de las tarjetas de crédito de banda magnética, que entregan los mismos datos cada vez que son pasadas, las tarjetas con chip ofrecen un valor matemático encriptado diferente, haciendo más difícil que los criminales utilicen los datos robados para futuras compras.

“EE.UU. es la única región del mundo donde el fraude de falsificación sigue aumentando", se publica en el Nilson Report. La ausencia de esta tecnología de chip en el punto físico de venta es un factor que contribuye mucho, añadió.

Europa comenzó la migración a las tarjetas de chip en el 2002, cuando Europay, MasterCard y Visa se ​​asociaron respecto a un estándar para la tecnología chip. En el 2005, las compañías de tarjetas también cambiaron la responsabilidad por fraude a los comerciantes en los casos en que aceptaron un pago fraudulento de una tarjeta de banda magnética, en lugar de una tarjeta chip. A medida que aumentaba la adopción de tarjetas con chip, los niveles de fraude en Europa, que alcanzaron su punto máximo en el 2008, comenzaron a bajar, según Euromonitor International.

"EE.UU. sigue siendo el único mercado que usa estas tarjetas de banda magnética como las que existían en los años 1960”.

El año pasado, las principales compañías de tarjetas de crédito, incluyendo Visa y MasterCard, establecieron a octubre de 2015 como la fecha en que los comerciantes estarán sujetos a las nuevas normas de tarjetas con chip, que trasladan el peso de las transacciones fraudulentas de banda magnética de los emisores a los comerciantes.

No está claro si el ataque de Target acelerará el proceso.

Mientras tanto, los ataques continúan.

"Lo más importante es darse cuenta de que los 500 de la lista de Fortune 500 están bajo ataque constante", "Nadie debería estar diciendo: “no puedo creer Target haya sido atacado”, porque la realidad es que todos están siendo atacados."

 

Equipo de Consultores ISEC

ACTIVIDADES

 

ISEC.PE

TODOS LOS DERECHOS RESERVADOS ©2022