Hubo un problema mucho más extenso que surgió en la violación de datos de la semana pasada que involucró a la pasarela de pago y al desarrollador de pagos móviles CHARGE Anywhere que la pérdida de datos en sí: la seguridad del cifrado en su lugar.
Si está utilizando CHARGE Anywhere en sus compras minoristas, sabe, por supuesto, que puede sentir una especie de seguridad sabiendo que la mayoría de los terminales de punto de venta están protegidos de alguna manera con cifrado. Bueno, piénselo de nuevo. Recientemente, los piratas informáticos pudieron ingresar al sistema de CHARGE Anywhere y violar con éxito las transacciones que habían ocurrido en su red desde 2009. Y aunque el tráfico que llegaba a través de esa red estaba encriptado, la compañía reconoció que se habían robado datos de texto sin formato en agosto y Septiembre.
Los investigadores descubrieron que una persona no autorizada pudo acceder a la red de CHARGE Anywhere y ejecutó un malware avanzado para apoderarse de partes del tráfico de la red que provenía de los sistemas de CHARGE Anywhere. No es que ese tráfico se haya dejado sin cifrar. Pero de alguna manera, los investigadores revelaron además que había algo laxo en la forma en que se formateó la conexión para el tráfico saliente, ya que le permitió al pirata informático obtener solicitudes de autorización de transacciones de tarjetas de pago de texto sin formato.
Lo que eso significa, más que el hecho de que se hayan comprometido datos confidenciales como el nombre del titular de la tarjeta, el número de cuenta, la fecha de vencimiento y el código de verificación, es que hay algo problemático con la forma en que la empresa encripta esos datos.
No obstante, es bueno que el compromiso no se haya extendido a los sistemas de comerciantes y procesadores, ya que habría afectado enormemente la forma en que las pasarelas de pago transmiten el tráfico desde los terminales de los puntos de venta a los procesadores de pagos. CHARGE Anywhere también fue rápido para apagar el malware y eliminarlo de su red luego de repetidas llamadas a la compañía para que investigara cargos fraudulentos que habían cobrado su precio en las tarjetas de los clientes.
CHARGE Anywhere dijo que ha estado colaborando con firmas de tarjetas de crédito y procesadores para alertar a los bancos sobre los comerciantes y números de cuenta utilizados durante el período del ataque.
Pero dada la creciente sofisticación de las amenazas que vienen en diversas formas y métodos de ataque, no hay garantía de que la misma infracción no suceda una y otra vez. La mejor manera es que las empresas adopten tecnologías adaptativas que respondan a ataques avanzados y se adapten a los requisitos de seguridad de la organización.
Los minoristas, en particular, son el objetivo constante de este tipo de ataques debido a la falta de recursos con los que esta industria puede responder a los ataques.
