RAM scraping, peligro para los TPV de las tiendas

La nueva amenaza que se ciñe sobre el comercio electrónico se llama RAM scraping. El malware afecta directamente a los Terminales del Punto de Venta de los comercios roban los datos de las tarjetas de crédito de los clientes.

Las investigaciones de Check Point sobre los ataques han revelado que todos los comercios afectados fueron infectados con herramientas del tipo “RAM scraping” un malware con capacidad para realizar volcados de memoria, lo que permitió que los atacantes pudieran interceptar y robar tanto los datos de las tarjetas de crédito de los clientes, como información de sus cuentas.

Aunque los estándares de seguridad en la industria del pago con tarjeta (PCI-DSS) sí ofrecen una fuerte seguridad desde la transacción inicial, debido a que los datos se almacenan en los propios sistemas del minorista no es un sistema inquebrantable.

“Hay un periodo de tiempo muy corto en el que los datos de la tarjeta de crédito del cliente -incluyendo nombre, número de tarjeta, fecha de expiración y los tres dígitos de seguridad- están en texto plano. Esto es debido a que los sistemas del proceso de pago trabajan con datos desencriptados, lo que supone una brecha de seguridad que es aprovechada por las herramientas ‘RAM scraping’ ”, ha explicado destaca Mario García, director general de Check Point.

Cuando los datos de una tarjeta son leídos por un TPV, éstos se almacenan de forma temporal en una memoria de acceso aleatorio mientras se procesa la autorización de la compra (antes permanecen encriptados). Del mismo modo, del otro lado, cuanto el servidor comienza a procesar la transacción del usuario, los datos son temporalmente desencriptados y almacenados en la memoria. La información es visible durante una fracción de segundo, pero es tiempo suficiente para que estas herramientas de malware hagan su labor.

Estas herramientas están diseñadas, por tanto, para activarse en el momento justo de producirse la transacción, y obtener los números de tarjeta desde la RAM tan pronto como se carguen nuevos datos. “Posteriormente la información se copia de forma silenciosa en un fichero de texto y, cuando se han producido un determinado número de ‘raspados’ (scrapers) todos estos datos son reenviados a los cibercriminales”, ha comentado García.

Dado que los sistemas como los TPV de los comercios están conectados a Internet, es probable que la infección original se haya producido por métodos convencionales: bien después de seguir un enlace a una web maliciosa o de abrir un archivo adjunto a través de un correo electrónico dirigido a algún empleado de la empresa, o bien explotando alguna vulnerabilidad que proporcionase a los atacantes acceso remoto a la red.

Para prevenir problemas, Check Point recomienda usar contraseñas complejas en los TPV y cambiar la configuración que viene por defecto; asi como actualizar las aplicaciones de los TPV. Del mismo modo que se hace con el resto del software de la empresa, los TPV deben contar con los últimos parches para reducir su exposición a vulnerabilidades.

Además, es bueno contar con un firewall para proteger los TPV y aislarlos de otras redes, utilizar herramientas antivirus y mantenerlas completamente actualizadas, restringir el acceso a Internet de los TPV o sistemas similares para prevenir una exposición accidental a cualquier amenaza de seguridad y deshabilitar el acceso remoto a los terminales TPV.

Asimismo, las organizaciones deberían también considerar contramedidas adicionales para añadir nuevas capas de protección contra infecciones de malware.

“Es importante destacar que estas nuevas amenazas no sólo afectan al sector comercial, sino que cualquier empresa que procese un cierto volumen de pagos con tarjeta, desde entornos de restauración y ocio, financieros o sanitarios, pueden verse comprometidos”, ha finalizado García.