[06/02/2014] Millones de comercios de todo el mundo tienen integrada una versión de Windows XP específica para cajas registradoras, que se utiliza también en set-top boxes y computadoras de vehículos. Con la retirada del soporte a este legendario sistema operativo, con 13 años de existencia, su exposición a las amenazas de seguridad será alta.
Un
informe de Symantec así lo advierte. “Este hecho situará, sin duda, a los usuarios de puntos de venta ante un mayor riesgo de sufrir un ataque eficaz contra sus datos, que ya deberían estar analizando para mitigarlo”, se señala en sus páginas.
La piratería ha logrado recientemente instalar malware en los sistemas de las firmas Target y Neiman Marcus, que logró acceder a los datos no encriptados de las tarjetas de pago. De hecho, el pasado mes de diciembre, Target reconoció que se habían visto comprometidos 40 millones de tarjetas de pago y otros 70 millones de registros, en lo que supuso una de las mayores brechas contra la seguridad conocidas.
Por su parte, Neiman Marcus reconoció otro 1,1 millones de tarjetas de pago vulneradas entre julio y octubre del pasado año, algo que notificó a todos los clientes que habían realizado compras en sus tiendas a lo largo del 2013.
Y la división de seguridad de EMC, RSA, aseguró la semana pasada que 119 terminales punto de venta de 45 comercios, 32 de los cuales con sede en EE.UU., pueden estar infectados con software pirata.
Puesto que los terminales de punto de venta ejecutan Windows, es fácil sospechar que los hackers estén reutilizando malware de Windows adaptado a sus necesidades, llega a reconocer el informe de Symantec. "Esto supone que los atacantes no necesitan ni siquiera conocimientos especializados", relata.
Las empresas que intercambian datos de tarjetas de pago de Visa o MasterCard deben seguir una serie de prácticas de seguridad de este sector, conocido como Payment Card Industry (PCI). Es el denominado Data Security Standard (DSS).
Estas normas recomiendan, aunque no obligan, a los minoristas a aislar las redes que manejan datos de pago, los llamados entornos de datos de titulares de tarjetas (CDE), explica Symantec.
Los sistemas de punto de venta deben permitir las actualizaciones de software, la exportación de los datos del negocio, sus órdenes de compra e inventario, así como facilitar la conexión a procesadores de pagos externos, asegura el informe. "Aunque el estricto control y aislamiento de los sistemas PoS sería bastante seguro, es muy poco práctico para ser tenido en cuenta", concluye el informe.
Por su parte, Orla Cox, gerente senior de Inteligencia de Seguridad en Symantec,
sostiene que los robos de tarjetas seguirán “porque las tarjetas robadas tienen una vida útil limitada y las compañías de crédito son rápidas en impedir cualquier comportamiento de gasto anómalo de sus clientes. Esto supone que los piratas necesitan un flujo de números de tarjeta frescos”.
Jeremy Kirk. IDG News Service.