.

Computación

Programas Dañinos Golpean a Millones de Tarjetas de Crédito

1

Un fallo en la seguridad muestra problemas en los reglamentos de seguridad.

  • por John Borland | traducido por Rubén Oscar Diéguez
  • 22 Enero, 2009

Decenas de millones de tarjetas de crédito podrían estar en riesgo de uso fraudulento gracias a un serio fallo de seguridad informática en la empresa de operaciones financieras Heartland Payment Systems. A principios de esta semana, Heartland reveló que software malintencionado, instalado el año pasado, aparentemente dentro del sistema de procesamiento de operaciones, había comprometido los datos de tarjetas de crédito a medida que recorrían la red.

El fallo se anunció el martes, el día de la asunción del mando del presidente de Estados Unidos, y de acuerdo con algunos expertos, muestra que los atacantes están venciendo exitosamente las fuertes medidas de seguridad informática de la industria financiera. “Potencialmente, esta es uno de los fallos más grandes, si no es la mayor que jamás hayamos visto”, dice Rich Mogull, fundador de la empresa consultora de seguridad informática, Securosis. “Aquí tiene que haber fallado algo realmente enorme”.

No queda claro el tipo de software malicioso que utilizaron ni cuántas cuentas de tarjeta de crédito quedaron comprometidas. Pero el presidente de la empresa Robert Baldwin dijo que Heartland maneja tantas como 100 millones de operaciones por mes.

Desde la perspectiva del usuario, el nivel de peligro proveniente del fallo de Heartland es incierto pero importante. Heartland rehusó a declarar qué comerciantes estuvieron involucrados en las operaciones fraudulentas, o durante cuánto tiempo funcionó el software malicioso. Pero la empresa le ofrece sus servicios a más de 200.000 locales, centrados básicamente en negocios pequeños como ser hoteles y restaurantes.

Heartland creó una página web para responder a las preguntas de los clientes referidas a al fallo. Algunas empresas de tarjetas de crédito ya están notificando a su clientela, y otras, tal vez simplemente emitan tarjetas nuevas. Pero se tendrá que avisar a los clientes que revisen cuidadosamente sus resúmenes de cuentas. La mayoría de las empresas de tarjetas de crédito cubrirán completamente los costes de los usos no autorizados, siempre y cuando el fraude se informe durante el lapso de varios meses.

Los ejecutivos de Heartland dicen que su primera señal de peligro llegó en forma de avisos de MasterCard y Visa respecto actividad sospechosa en las operaciones relacionadas al negocio de esas empresas. Heartland contrató especialistas forenses de informática para que investiguen, y la semana pasada descubrieron los programas dañinos en su sistema, según declaraciones realizadas por la empresa.

Heartland dice que los datos comprometidos no incluyen información personal como ser direcciones, números de PIN, números de Seguridad Social, o números telefónicos, reduciéndose la amenaza de un robo de identidad a gran escala. Sin embargo, los expertos de seguridad dicen que los datos robados se pueden usar para crear tarjetas mellizas de las originales, sin necesitar nada complicado sino tarjetas con banda magnética virgen y una impresora de tarjetas que cuesta menos de $ 200.- En la mayoría de los casos, estas tarjetas falsas tendrían que usarse en lugares reales ya que las compras online y otras operaciones que se realizan “sin la tarjeta presente”, generalmente requieren el domicilio del usuario u otra información de identidad para autorizarse.

Dado el tamaño y la sofisticación de la empresa Heartland, (es una de las empresas de procesamiento de pagos más importantes de Estados Unidos), los expertos de seguridad dicen que es improbable que haya sido un Troyano o un gusano informático en estado salvaje lo que ocasionó este fallo. La empresa misma cree que la entrada forzosa podría ser parte de un fraude cibernético a escala mundial. Heartland está colaborando con las autoridades nacionales.

Algunos profesionales de la seguridad informática dicen que los incidentes de este tipo han sido la meta del año pasado, con herramientas de ataque elaboradas a menudo para industrias específicas o, incluso, empresas específicas. A menudo, esto se logra atacando la debilidad del software que se usa habitualmente en un sector industrial particular. Otra empresa de procesamiento de pagos, RBS Worldpay, fue la victima de un ataque en diciembre 2008.

Los profesionales de la seguridad dicen que la pregunta clave, tal vez más apremiante que ¿cómo tuvieron acceso a la red los atacantes?, es ¿cómo es que pasó tanto tiempo sin que se detectara la falla?  

Heartland prometió instalar un “programa de próxima generación diseñado para marcar anomalías en la red en tiempo real”, como parte de una tentativa para reforzar su red contra dichos ataques en el futuro. De hecho, muchas empresas financieras y de otra índole ya utilizan tecnología de tiempo real para detectar intrusiones y anomalías. La mayoría de las herramientas tienen una doble función: identificar los rastros de programas maliciosos conocidos y buscar patrones de actividad de red poco familiares que puedan indicar acceso no autorizado.

Los profesionales dicen que hasta el mejor de estos sistemas no es una panacea. A menudo el eslabón frágil sigue siendo humano: empleados que no monitorizan el sistema con suficiente atención o que no han actualizado los perfiles de las herramientas para reflejar cambios en la red. “El punto no es tener el mejor y más costoso software de la próxima generación”, dice Inno Eroraha, fundador de NetSecurity, una empresa de seguridad informática y forense. “Tienes que involucrar a los seres humanos. Si nadie monitoriza esos sistemas, tal vez ya sea demasiado tarde”.

Los procesadores de pagos de tarjeta de crédito tales como Heartland ya están obligados a cumplir con un listado de estándares de seguridad llamado El Estándar de Seguridad de datos en la Industria de Tarjetas de Pago (PCI DSS) que abarca temas tales como mantener redes seguras, proteger los datos almacenados de los usuarios, y mantener el software antivirus actualizado. Heartland fue registrado como cumplidor del PCI el año pasado al igual que otras víctimas recientes de entradas forzosas incluso RBS Worldpay. Pero los profesionales dicen que los estándares se van desarrollando a medida que la tecnología y los atacantes se van volviendo más sofisticados. “Por lo que hemos visto, PCI fue efectiva pero es sólo un punto de inicio”, dice Mike Hravik, funcionario tecnológico principal de Solutionary, una empresa de informática forense. “Así tiene que ser, ¿no es así?

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. ‘Chiplets’: el arma de China en su batalla tecnológica contra EE UU

    Al conectar varios chips menos avanzados en uno, las empresas chinas podrían eludir las sanciones impuestas por el gobierno estadounidense.

  2. Esta ciudad china quiere ser el Silicon Valley de los ‘chiplets’

    Wuxi, el centro chino del envasado de chips, está invirtiendo en la investigación de ‘chiplets’ para potenciar su papel en la industria de semiconductores

  3. La computación cuántica se abre camino a través del ruido

    Durante un tiempo, los investigadores pensaron que tendrían que conformarse con sistemas ruidosos y propensos a errores, al menos a corto plazo. Esto está empezando a cambiar.

    Jay Gambetta dirige el desarrollo de los ordenadores cuánticos de IBM y lideró la iniciativa de llevar estos sistemas a la nube.