¿Por qué están aumentando los ataques de malware POS?

¿Por qué están aumentando los ataques de malware POS?

Thelma López

El malware dirigido a Puntos de Venta (POS) no es nuevo, los ataques para clonar tarjetas de crédito y débito son conocidos desde 2005. Empezó con una táctica sencilla, el cibercriminal instalaba un software legítimo en una computadora, por ejemplo un sniffer, que interceptaba la comunicación entre la terminal de pago y dicha computadora y capturaba el dato, que no estaba cifrado.

Así fue como el famoso hacker Andrés Gonzáles robó US$90 millones de tarjetas en 2005.

Casi una década después, el tipo de malware ya presenta más de 1 300 ataques en puntos de venta en toda América Latina, según cifras que reveló Kaspersky Lab en su última Cumbre Latinoamericana de Analistas de Seguridad.

Ver también: IT BREAKS: La seguridad informática tiene cita en Panamá y Costa Rica

Lo que parece haber disparado este tipo de ataques es la liberación del código fuente de Dexter, que ahora está en código abierto y puede encontrarse hasta en github. El resultado fue el renacimiento de esta amenaza. Tan solo en los primeros  ocho   meses  de 2017   se registraron 1.000   ataques,   principalmente   por   el  malware  NeutrinoPOS   —encontrado  por primera  vez   en  2015  y  que  también   se  utiliza  en   ataques   de  denegación  de servicio (DDoS).

Este ha afectado principalmente a México y Perú, en América Latina.

De acuerdo con los investigadores de Kaspersky Lab, Brasil es el país líder en clonación de   tarjetas  en  puntos   de  venta  en   América  Latina,  responsable  del 77,37% de los ataques dedicados en la región. Seguido por México con cerca del 11,6% de los ataques a tarjetas.

En 2015 también fue descubierto Katrina, una variante de Alina, que empezó a ser comercializado en el mercado por un precio de 10 bitcoins. Hoy asciende a los US$2200.

El  malware  para punto de  venta   tiene funciones de “memory scraping”  de   la memoria RAM, que tiene como objetivo recoger datos importantes de la tarjeta, como los tracks 1 y 2. Además, a través del uso de expresiones, comparaciones y del algoritmo de Luhn, el  malware  encuentra los datos en la memoria. Dado que es común   que   los   datos   en la memoria de la  computadora   no   se  cifren, después de la recolección de los datos, se hace el envío al criminal

No se pierda: Entrevista: Concientización es la mejor herramienta para proteger a los autos

Dirigido, pero fuerte

El malware de POS no es el más común, troyano bancarios y ransonware todavía se llevan la corona de amenazas para sectores como banca y retail, pero su particularidad es que son ataques más localizados pero uno solo, ocasiona daños financieros enormes.

“Los daños causados a los bancos por tarjetas clonadas pueden sumar millones al año.   Los   criminales   constantemente   están   creando   nuevas   versiones.   Como consecuencia, revenden la información de las tarjetas que se clonaron en puntos de venta en el mercado negro”, dijo  Fabio Assolini, analista de seguridad senior de Kaspersky Lab.

Para realizar estos ataques los criminales pueden usar ingeniería social, para después el criminal hacer un movimiento lateral para llegar al punto donde quiere, se va moviendo en la red y ahí se queda silenciosamente capturando los datos. Puede quedarse ahí varios meses hasta que encuentra la oportunidad.

“Es un malware mejor planeado, el malware más avanzado lo hace por requisitos de DNS que es más difícil de identificar en la red. El malware menos profesional lo envía por FTP o correo. En todos los casos que investigamos es un malware que se queda mucho tiempo en la red”, dijo el analista senior.

Fabio Assolini, analista de seguridad senior de Kaspersky Lab en la Cumbre Latinoamericana de Analistas de Seguridad.
Fabio Assolini, analista de seguridad senior de Kaspersky Lab en la Cumbre Latinoamericana de Analistas de Seguridad.

 

 

 

 

 

 

 

 

 

 

Leave a comment

Send a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *