Seguridad

Enfoque de seguridad práctico y centrado en amenazas para proteger datos de tarjetahabientes

¿Cómo proteger la información de la tarjeta de crédito de sus clientes con mejores estrategias de seguridad?

Los delincuentes creen que usar malware para robar datos confidenciales de tarjetas de pago desde los sistemas de puntos de venta (POS) es más eficaz que robarlos directamente desde los comercios electrónicos.

Los consumidores ya comienzan a experimentar la conveniencia de tener quioscos de pago en la mesa, en restaurantes concurridos, y empleados de tiendas equipados con dispositivos de puntos de venta (POS) en el piso durante las horas pico de compras.

Si bien estas tecnologías reducen considerablemente los tiempos de espera y son el ejemplo más tangible de las mejoras que Internet de las cosas (IdC) introdujo en las experiencias de los clientes, también traen consigo graves vulnerabilidades de seguridad.

Estas experiencias, más inteligentes e intuitivas, ofrecen oportunidades a los actores maliciosos para acceder a los datos privados de tarjetas de pago y a información altamente confidencial. Tal como le sucedió recientemente a una cadena de comercios minoristas -la vulneración de sus sistemas por malware- pone en peligro los sistemas de puntos de venta (POS) que hoy son cada vez más populares.

Muchas cadenas nacionales de comercios minoristas han sido noticia cuando sus sistemas de pago fueron vulnerados y se expuso información confidencial de millones de clientes. El Instituto Ponemon descubrió que en 2014, el costo total promedio por la violación de datos de una organización fue de USD 5.400 millones, en comparación con los USD 4.500 millones en 2013. Sin embargo, los importantes costos económicos no son la única preocupación, ya que solo en Estados Unidos se perdieron unos 508.000 puestos de trabajo debido a la actividad maliciosa en línea.

Entonces, ¿por qué los ataques POS son cada vez más populares? Esto se debe a que los delincuentes creen que usar malware para robar datos confidenciales de tarjetas de pago desde los sistemas POS, es más eficaz que robarlos directamente desde los comercios electrónicos.

Los atacantes se volvieron más inteligentes a la hora de descubrir la manera de ingresar a las redes de los comercios minoristas. A menudo, son métodos que exceden el control de estos comercios, tales como las redes de proveedores externos que tienen acceso a los sistemas del minorista.

Cuando comprenden las tres tendencias, los comercios minoristas y los proveedores externos pueden implementar estrategias para proteger mejor la información de los consumidores:

Mayor superficie de ataque habilitada para Internet

Los comercios minoristas buscan constantemente las maneras para ser más competitivo mediante la conexión con sus consumidores. Los quioscos en la tienda, las aplicaciones móviles e incluso Wi-Fi gratuito, se utilizan para atraer a nuevos clientes y mantenerlos conectados, a fin de satisfacer sus experiencias personales y contextuales. La mayoría de estos dispositivos y sistemas en la tienda están conectados a Internet y a la misma red que los sistemas POS en la tienda. Aunque esto acelera las transacciones y genera nuevas oportunidades de ventas y experiencias más enriquecedoras para los clientes y empleados, también genera más entradas en las redes de la empresa.

A medida que IdC evoluciona, el entorno minorista seguirá experimentando ataques mientras nos alejamos de las cajas POS tradicionales. Los dispositivos portátiles para cajas, las máquinas expendedoras de boletos de cine y cualquier otro dispositivo conectado a la red de una empresa son objetivos fáciles de vulnerar, porque los atacantes los conocen muy bien y trabajan para aprovechar cualquier situación a fin de obtener los datos confidenciales de tarjetas de crédito o de consumidores.

Recursos limitados

Históricamente, se han destinado muy pocos recursos de seguridad a la protección de los sistemas de pago. Sin embargo, cuando esta tendencia de ataque se volvió frecuente, fue esencial que TI garantizara una cantidad adecuada de recursos dedicados a proteger los sistemas de pago y a conocer los puntos de ingreso.
 
Después de revisar una muestra de redes, Cisco pudo detectar conexiones a dominios de sitios de malware conocidos en el 100% de esas redes. Este hecho obliga a los  comercios minoristas a que apliquen mejores prácticas de vigilancia para proteger la información de pago de los clientes. El primer paso es proteger la información de la tarjeta procesada en reposo, mientras se controla el malware y la detección de actividad maliciosa en esas redes.

El rol de los proveedores externos

El sector minorista recurre a partners para distintos servicios, por ejemplo, almacenamiento de datos, procesamiento de pagos y hasta manejo de las funciones de la planta física, como calefacción y refrigeración de las tiendas tradicionales minoristas. Debido a que estos proveedores externos tienen acceso a las redes de los minoristas, aumenta el riesgo de ser vulnerados, particularmente cuando estos proveedores dan soporte a las soluciones de POS.
 
La suplantación de identidad por correo electrónico es una de las maneras en la que los proveedores externos son pirateados para obtener acceso a las redes de los comercios minoristas. Episodios de este tipo subrayan la importancia de elegir proveedores externos que apliquen medidas de seguridad rigurosas en sus propias redes. Es muy importante contar con proveedores que cumplan o superen las normas que el comercio minorista tiene para sus redes. Una vez vulnerado, el personal del proveedor externo puede actuar, sin saberlo, como los huéspedes que introducen el malware a los sistemas POS de los comercios minoristas. Solo se necesita que un empleado inocente -que desconoce la estafa de suplantación de identidad- abra un correo electrónico y la red estará en peligro. Los CIOs y CSO deben evaluar todos los puntos de ingreso con acceso a la red y asegurarlos.

Debido a las continuas violaciones de seguridad de POS que fueron noticia y en las cuales se expusó la información confidencial de los clientes, los comercios minoristas deberían considerar la evolución de los sistemas de POS y efectuar los cambios necesarios en las medidas de seguridad para proteger estos sistemas.  Las violaciones no ocurren solo en las cajas de POS, ahora también las redes son el camino para que los atacantes se infiltren y lleguen a los sistemas POS. Una vez que la superficie de ataque se amplía, la simple introducción de nuevos dispositivos orientados al comercio minorista en una tienda, puede aumentar el riesgo para la red de POS.

Con el objetivo de combatir estas tendencias y sus efectos devastadores para el comercio minorista, las organizaciones con sistemas POS deberán asumir legítimamente la presencia de malware y evitar su fuga o eliminar de la red la información confidencial del cliente, a fin de preservar la reputación de la marca.

Proteger la información del cliente se reduce a:  

• Destinar más recursos a la protección de los datos del cliente.

• Asociarse con proveedores externos para crear una red protegida.

• Conocer dónde se almacena la información del cliente y quién tiene acceso a esta.

Si los consumidores confían en que su información está protegida, los CIO y CSO tienen una oportunidad única para proteger la reputación de la marca, agregar valor a sus funciones y aumentar la importancia de los trabajos que realizan sus departamentos.

Es poco probable que los piratas informáticos reduzcan el uso de malware para recopilar y robar datos de tarjeta de pago confidenciales, pero cierta ofensiva puede ayudar a reducir los riesgos para los comercios minoristas y los clientes.

Un enfoque de seguridad en práctica y centrado en amenazas reduce la complejidad y, al mismo tiempo, presta visibilidad, control homogéneo y protección contra amenazas avanzada sin igual, antes, durante y después de un ataque.

Este artículo forma parte de la serie Connected Futures Magazine en español. Vea más en la revista online.
Imagen de cabecera: cso.com.au.

Fuente: Cisco Latam

Publicaciones relacionadas

Botón volver arriba