card

El robo de datos de tarjetas de pago no es algo nuevo. Desde el mismo momento en el que se implementó el uso del plástico cómo método de pago presencial, los delincuentes han desarrollado gran cantidad de técnicas con el fin de obtener acceso a esta información de forma no autorizada para poder emplearla posteriormente en transacciones fraudulentas. Las operativas no se han limitado únicamente a atacar directamente los datos contenidos en el plástico, sino también a las terminales de pago, los canales de comunicación y los repositorios de datos de tarjetas ubicados en comercios y en proveedores de servicio. Con la llegada del comercio electrónico y los pagos en línea, los vectores de ataque se han amplificado, convirtiendo esta modalidad delincuencial en una de las más problemáticas para controlar debido en gran parte a la desinformación, la falta de conciencia y la ausencia de responsabilidad en la protección de estos datos tanto por los usuarios como por los comercios.

En este nuevo artículo de PCI Hispano se enumerarán algunas de estas técnicas y su correspondiente forma de protección y se describen los controles definidos por el PCI SSC para su implementación.

1. Shoulder Sourfing (o espiar por encima del hombro)

Este es uno de los ataques más sencillos pero a su vez uno de los más efectivos y difíciles de contener.  Se basa en la observación directa (personalmente) o indirecta (empleando cámaras, binoculares o cualquier otro dispositivo de visualización a distancia)  de datos confidenciales de un usuario sin su autorización. El ejemplo más clásico es cuando alguien mira por encima del hombro de otra persona cuando está digitando su contraseña, su PIN o cualquier otro dato de seguridad.

shoulder

Recientemente los delincuentes han perfeccionado este ataque empleando cámaras de video o fotográficas en miniatura ubicadas en posiciones ocultas que permiten la observación de los datos confidenciales en el momento de su ingreso, como se puede ver en este caso en el cual se ha instalado una pequeña videocámara apuntando directamente al teclado del PIN del cajero electrónico:

Capture

¿Cómo protegerse?

Así como la forma de ataque es sencilla, la protección lo es aún más: simplemente cubrir (ya sea con la mano o con cualquier otro elemento) el dato confidencial cuando se está ingresando con el fin de bloquear la observación consciente o inconsciente por parte de terceros no autorizados. Algunas veces suele interpretarse este acto como descortesía frente a la persona que está observando, pero si esto ocurre es importante aclararle que esta acción hace parte del protocolo seguido para nuestra propia seguridad.

shouldersurfing

Para facilitar la implementación en los controles de la protección contra el “shoulder surfing” en el caso del PIN de una tarjeta, el PCI SSC definió en el estándar “Payment Card Industry PTS POI Security Requirements v4.0” una serie de requerimientos a ser cumplidos por los fabricantes de dispositivos de ingreso de PIN para prevenir la observación directa en el momento en el que se ingresa este dato:

“The device [must] provide[s] a means to deter the visual observation of PIN values as they are being entered by the cardholder”

Controles similares se encuentran en otros estándares seguidos por la mayoría de fabricantes de cajeros electrónicos y dispositivos de entrada de PIN (PIN Entry Devices) como ISO 9564.

Capture

Como acción complementaria a esta protección se puede emplear cualquier elemento que le permita a la persona que ingresa sus datos confidenciales observar si hay alguien detrás suyo. Algunos cajeros electrónicos incorporan pequeños espejos retrovisores o cámaras que le permiten al usuario detectar si hay alguien detrás suyo que pueda estar espiando sus acciones.

Capture

De acuerdo con ello, para prevenir este ataque es importante:

  • Cubrir siempre el teclado o dispositivo de entrada de datos para evitar la observación no autorizada
  • Revisar los alrededores del dispositivo de entrada de datos confidenciales para identificar cualquier objeto extraño. En el caso que se sospeche de la existencia de algún tipo de equipamiento no autorizado, abstenerse de realizar la transacción en ese equipo e informar a la entidad responsable
  • Un comportamiento amable hace la diferencia: si alguna persona se encuentra cerca nuestro en el momento de la transacción, indicarle que por seguridad se cubrirá el teclado para prevenir visualizaciones no autorizadas

2. Análisis térmico del dispositivo PED (PIN Entry Device)

En Agosto de 2014, Mark Rober (un investigador en seguridad de la información) publicó un video en YouTube en el cual demostraba cómo mediante el uso de una cámara térmica (FLIR One) conectada a un teléfono móvil se podía realizar un análisis del espectro de calor irradiado por un PED (PIN Entry Device) unos segundos después de haber sido usado. Las conclusiones son aterradoras:

Empleando este ataque, un delincuente puede obtener los datos del PIN del usuario anterior que haya hecho uso de un dispositivo de entrada de datos (PED):

Fuente: Petapixel

Fuente: Petapixel

 ¿Cómo protegerse?

Como el autor lo describe en el video, la forma para prevenir este ataque es ubicando los dedos encima de diferentes teclas para que el patrón termal sea homogéneo y no permita la identificación del PIN. Es importante anotar que este tipo de ataque no es válido en PED metálicos, como los instalados en cajeros electrónicos.

Fuente: Petapixel

Fuente: Petapixel

3. Skimming (o copia no autorizada de la banda magnética, chip EMV y PIN) y clonación

Tal como se explicó hace algunos meses en PCI Hispano, la información de la tarjeta de pago contenida en banda magnética del plástico se encuentra almacenada en texto claro. No se emplea ningún algoritmo de cifrado para proteger esta información, por lo cual esta tecnología es susceptible a clonación empleando para ello dispositivos portátiles denominados “skimmers”. Estos dispositivos permiten la lectura y almacenamiento de bandas magnéticas para ser grabadas posteriormente en tarjetas vírgenes (clonación) y ser empleadas en transacciones fraudulentas suplantando al titular real del plástico.

Estos skimmers pueden ser emplazados sobre un lector de tarjetas en un cajero electrónico o ser escondidos por el delincuente para ser empleado cuando el usuario esté distraído:

skimmer-type1

La información de las bandas magnéticas capturada por estos dispositivos puede ser almacenada localmente o enviado al atacante de forma remota vía inalámbrica (802.11, Bluetooth o GSM).

Fuente: Krebsonsecurity

Fuente: Krebsonsecurity

Una de las contramedidas más importantes frente al skimming fue la implementación de las tarjetas inteligentes que hacen uso de chips EMV. A pesar de la seguridad provista por esta nueva tecnología, los lectores de banda evolucionaron para permitir la lectura del chip EMV y facilitar la clonación de los plásticos:

EMV_Skimmer

Por otro lado, este tipo de dispositivos no se limitan únicamente a la copia de la información de la banda magnética. Para que la transacción suplantada pueda ser satisfactoria, se requiere disponer del PIN de la tarjeta copiada. Para ello, el delincuente combina la copia de los datos de la banda magnética o del chip EMV con diferentes técnicas para la captura del PIN asociado empleando “shoulder sourfing” o análisis térmico (explicados anteriormente),  o simplemente suplantando el teclado del PED (PIN Entry Device) con otro que captura y graba los datos digitados por el usuario sin que este se percate de esta acción:

Fuente: Krebsonsecurity

Fuente: Krebsonsecurity

¿Cómo protegerse?

A continuación se enumeran algunas consideraciones de seguridad que como usuario se pueden realizar para evitar el robo de los datos de la banda magnética de la tarjeta de pago:

  • Revisar detalladamente en busca de elementos extraños en el cajero electrónico, terminal de pago y/o el dispositivo en el cual se insertará la tarjeta (tapas, cables, cubiertas u otros componentes que puedan afectar la operación normal). Si se considera necesario, ejercer una fuerza menor sobre los componentes para garantizar que están fijos y no hay elementos extraños cubriéndolos
  • Nunca perder de vista el plástico cuando se realiza un pago o se le entrega a un tercero la tarjeta. De ser posible, nunca delegar el plástico y realizar personalmente la inserción en el lector
  • Realizar compras en comercios físicos de confianza

En el caso de comercios que trabajan con transacciones presenciales, el PCI SSC en el documento “Payment Card Industry PTS POI Security Requirements v4.0” describe la necesidad de implementar controles para evitar la manipulación de los dispositivos lectores de banda magnética. Adicionalmente, en el estándar PCI DSS v3 se incluyen una serie de nuevos controles orientados hacia la protección física (Req. 9) de los dispositivos que capturan datos de tarjetas de pago.

Debido a la criticidad de este ataque, en septiembre de 2014 el PCI SSC publicó el documento “Information Supplement – Skimming Prevention: Best Practices for Merchants” en el cual ofrece una serie de instrucciones para comercios con el fin de minimizar los potenciales fraudes asociados con esta práctica delictiva.

4. Dumpster Diving (o recolección de basura)

Las terminales de punto de venta (TPV) o cajeros electrónicos al finalizar una transacción imprimen un recibo de operación como comprobante de la operación realizada. Dependiendo de los niveles de seguridad establecidos, algunos de estos dispositivos pueden llegar a imprimir el dato del PAN en texto claro u otra información del usuario o de la tarjeta. Suele pasar casi siempre que el usuario deposita este comprobante en una papelera sin mayores precauciones, de donde un potencial atacante puede recuperarlo y extraer datos que le pueden ser útiles para cometer un fraude (nombre del titular de tarjeta, fecha de expiración de la tarjeta, datos del saldo de la cuenta, etc.)

Capture

¿Cómo protegerse?

A continuación se enumeran algunas precauciones a tener presentes para prevenir problemas derivados de la obtención no autorizada de información de un comprobante de pago:

  • Si se requiere guardar el comprobante, almacenarlo en un lugar seguro y no dárselo a ningún tercero no confiable
  • Si no se requiere guardar este comprobante, romperlo en pedazos y preferiblemente depositar estos trozos en un lugar alejado del sitio en el cual se realizó la transacción
  • Si se conserva una copia de este recibo, tener presente que su vida útil por lo general es de algunos meses después de realizada la transacción para efectos de reclamaciones posteriores por lo que se debería almacenar en una ubicación segura. En cuanto no se requiera, destruirlo de forma segura
  • Muchas personas acostumbran tomarle fotos a estas facturas para mantenerlas almacenadas en formato digital. Si se realiza esta práctica, validar siempre que los datos de tarjeta (PAN) se encuentren enmascarados

En el caso de comercios y proveedores de servicio que gestionen el uso de datos de tarjeta empleando papel, es indispensable la implementación del siguiente control para prevenir potenciales riesgos asociados a este medio de almacenamiento:

Requerimiento 9.10.1. Corte en tiras, incinere o haga pasta los materiales de copias en papel para que no se puedan reconstruir los datos de titulares de tarjetas.

5. Lectura fraudulenta de datos de tarjeta de pago empleando NFC (contactless)

Tal como se explicó en el artículo “¿Cómo funcionan las tarjetas de pago? Parte VI: Tarjetas contactless (RFID – NFC)”, las tarjetas de pago “contactless” conllevan una serie de ventajas al usuario en el proceso de pago, debido a que no se requiere de la inserción física de la tarjeta dentro de un lector. Sin embargo, esta ventaja operativa conlleva una desventaja en términos de seguridad: cualquier atacante que cuente con un lector NFC (que puede ser inclusive un teléfono móvil) y que conozca las primitivas de EMV puede extraer la información del chip debido a que no existe autenticación en el uso de la API de solicitud/respuesta.  Esta captura no autorizada de datos puede ser empleada más adelante para la clonación de los plásticos:

NFC

Por otro lado, es importante tener presente que el tráfico entre la tarjeta contactless y el lector se realiza mediante un canal no cifrado, lo que permite que un atacante pueda capturar los datos transmitidos de toda la transacción, incluyendo los datos del propio chip EMV:

card_sniff

Más recientemente,  los delincuentes han aprovechado las funcionalidades NFC de los teléfonos móviles para capturar los datos de tarjetas de pago contactless alrededor de forma pasiva y para ello han desarrollado malware  que infecta estos dispositivos y los convierte en capturadores distribuidos de datos de tarjetas.

Igualmente, personas maliciosas podrían hacer uso de TPV portátiles para realizar cobros no autorizados aprovechando lugares de asistencia masiva como metros, trenes, ascensores, tiendas, cines, etc.

3ed8880d-a583-4bdd-b648-fec789ddd827-original

¿Cómo protegerse?

Debido a que este es un problema innato de la tecnología contactless, es muy poco lo que el usuario propietario de este tipo de tarjetas puede hacer.  No obstante, existe algunas soluciones para los más paranoicos:

untitled

Complementando estos controles de seguridad, se recomienda instalar y mantener actualizada una solución de antivirus en el teléfono móvil para evitar que esta terminal se convierta en un lector no autorizado de datos de tarjetas contactless si llega a ser infectado con malware.

Por otro lado, el PCI SSC ha publicado los documentos “PCI Mobile Payment Acceptance Security GuidelinesyPCI Mobile Payment Acceptance Security Guidelines en donde se describen una serie de recomendaciones generales tanto para comercios como para desarrolladores involucrados en la gestión de pagos empleando teléfonos móviles que incluyen tecnologías “contactless”.

6. Ingeniería social (phising, suplantación, etc.)

La ingeniería social es la técnica mediante la cual se logra obtener acceso a información confidencial mediante la manipulación y el engaño de un usuario. Ejemplos claros de esta actividad para robar datos de tarjeta de pago son los correos electrónicos que suplantan un banco y piden la información de la tarjeta o del número de cuenta, cadenas de correos ofreciendo premios o cantidades de dinero provenientes de supuestas herencias pero que piden como garantía los datos de la tarjeta de la víctima (estafas nigerianas), delincuentes que efectúan llamadas telefónicas haciéndose pasar por personal de una entidad financiera y pidiendo los datos de la tarjeta de pago, sitios web no confiables que piden los datos de tarjeta de pago para “validar” los umbrales de crédito, entre otros.

Capture

¿Cómo protegerse?

La única forma de combatir los efectos de la ingeniería social es mediante ejercicios de concienciación y formación. Emplear un poco de sentido común y desconfianza nunca sobran:

  • Las entidades bancarias NUNCA pedirán información de tarjetas de pago por correo electrónico o por internet. Abstenerse de entregar esa información por medios no confiables
  • Desconfiar de sitios web y correos electrónicos que ofrecen servicios “demasiado buenos para ser ciertos” a precios irrisorios o gratuitos
  • Desconfiar de correos electrónicos, mensajes de texto (SMS), llamadas telefónicas o mensajes instantáneos que no han sido solicitados y piden datos de tarjetas de pago
  • No visitar los enlaces referidos en correos electrónicos no solicitados
  • Validar siempre la URL completa, los certificados digitales y la identidad del sitio web bancario que se visita

Para comercios y proveedores de servicio que procesen, almacenen o transmitan datos de tarjetas de pago, el estándar PCI DSS ha definido el siguiente control para minimizar los incidentes relacionados con pérdidas de datos de tarjetas de pago asociadas a errores humanos e ingeniería social:

Requerimiento 12.6. Implemente un programa formal de concienciación sobre seguridad para que todos los empleados tomen conciencia de la importancia de la seguridad de los datos de titulares de tarjetas.

7. Comercios electrónicos y proveedores de servicio no confiables

Internet y el comercio electrónico han facilitado la compra y venta de productos y servicios sin la necesidad de presencia física. Uno de los elementos clave en este proceso son los datos de las tarjetas de pago, empleados como referencia para finalizar la transacción comercial y permitir la transferencia de fondos monetarios entre las partes involucradas. No obstante, muchos delincuentes emplean la ventaja de no tener presencialmente a su comprador para realizar estafas o capturar de forma no autorizada sus datos de tarjeta para emplearlos en fraudes más adelante. Este tipo de transacciones se denominan “transacciones no presenciales” y en vez de solicitar el plástico y el PIN para la transacción se pide el PAN y el código de validación.

fake

¿Cómo protegerse?

Algunas recomendaciones generales para evitar este problema son:

  • Comprar en sitios que cuenten con buena reputación y que informen de forma clara su política de gestión de datos de tarjetas de pago, información personal y proporcionen sus datos de contacto en caso de problemas o reclamaciones
  • Desconfiar de promociones o productos con precios “demasiado” buenos. Por lo general siempre tienen trampa
  • Abstenerse de hacer compras en sitios web cuyo contacto ha llegado a través de correos electrónicos no solicitados (spam) o publicidad en sitios de dudosa reputación
  • Algunos bancos proporcionan el servicio de “tarjetas virtuales” que permiten gestionar el crédito asignado para prevenir gastos no autorizados. Revisar si se cuenta con este servicio y activarlo
  • Revisar de forma periódica los extractos bancarios y movimientos de las tarjetas de pago y sus cuentas asociadas
  • Si se considera que se ha sido víctima de un fraude, informar de forma inmediata al banco y bloquear las tarjetas
  • Revisar la validez de los certificados digitales de HTTPS asociados a la URL del comercio electrónico

Mayor información en OSI (Oficina de Seguridad del Internauta).

Todos los comercios electrónicos que procesan, almacenan o transmiten datos de tarjetas de pago deben cumplir con el estándar de PCI DSS en función de los canales de pago y cantidad de transacciones anuales que procesen, lo cual implica una responsabilidad en el tratamiento de esta información obtenida por un cliente en particular.

8. Malware (Software malicioso)

El software malicioso (también conocido como “malware“) es aquel tipo de software que sin autorización explícita del usuario se infiltra en un sistema informático para realizar rutinas no autorizadas. Dentro de esta categoría se encuentran los virus, los gusanos (“worms”), los troyanos, los capturadores de pulsaciones de teclas (“keylogger”), los rootkits, el spyware, etc. Algunos de estos programas maliciosos pueden capturar los datos de las tarjetas de pago empleadas por el usuario en su ordenador y enviarlas a un atacante remoto para ser usadas en transacciones fraudulentas.

installation

¿Cómo protegerse?

Para evitar ser víctima de malware, se recomienda seguir las siguientes consideraciones de seguridad:

  • No instalar software proveniente de sitios de dudosa reputación o que venga en un correo electrónico no solicitado
  • Abstenerse de utilizar ordenadores compartidos o públicos cuando se realicen transacciones que involucren datos de tarjetas de pago
  • Mantener instalada y actualizada una solución antivirus en el ordenador o teléfono móvil
  • De ser posible, configurar una solución de personal firewall
  • Si se emplean dispositivos de almacenamiento removible (USB, CD, DVD, etc.), analizarlos con la solución antivirus antes de acceder a su contenido

En el caso de comercios y proveedores de servicio que procesan, almacenan y/o transmiten datos de tarjetas de pago, el cumplimiento del estándar PCI DSS es indispensable. Este estándar incluye un requisito completo relacionado con la gestión de software antimalware en aquellas plataformas susceptibles de ser afectada por este problema (Requisito 5: Utilice y actualice regularmente el software o los programas antivirus). Más información en el artículo “Controles técnicos de PCI DSS parte III: Antivirus (Antimalware)“.

9. Sniffing (o captura no autorizada de tráfico)

Por lo general,  los datos transmitidos a través de las redes de ordenadores se encuentran en texto claro (esto es: no se implementa ningún control de encriptación). Por temas históricos y de evolución de servicios y protocolos, esta configuración insegura viene implementada por defecto a menos que se configure de forma explícita para que se emplee cifrado en la transmisión. Dependiendo del medio de comunicación empleado, es posible que un atacante pueda tener acceso a los datos transmitidos incluyendo información sensible (como contraseñas de acceso y datos de tarjetas de pago) empleando la captura no autorizada de tráfico, técnica denominada “sniffing“.

wireshark

 ¿Cómo protegerse?

A continuación se listan algunas buenas prácticas a ser tenidas en cuenta cuando se realizan transacciones que involucren datos de tarjetas de pago o información sensible:

  • Como recomendación general, abstenerse de emplear redes inalámbricas abiertas cuando se realicen transacciones que involucren datos de tarjetas de pago
  • No enviar los datos de las tarjetas de pago en texto claro cuando se hace uso del correo electrónico, mensajería instantánea o aplicaciones de chat
  • Si se realiza una transacción en un comercio electrónico, comprobar que la página en la que se ingresan los datos de la tarjeta de pago empieza por HTTPS (https://) y que la URL coincide con el nombre del certificado presentado. Esta última parte casi siempre es verificada por el propio navegador (browser) e informado al usuario. Si se genera alguna alerta, evitar hacer la transacción en ese sitio web

not_trusted

Para comercios y proveedores de servicio, el estándar PCI DSS define la necesidad de implementación del requisito 4: “Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas” para garantizar la seguridad de los datos de tarjetas de pago en tránsito a través de redes públicas abiertas.

10. Publicación de imágenes de tarjetas de pago en redes sociales

Con la masificación de las redes sociales, las actividades de compartir fotos, videos e información de nuestro día a día se han convertido en algo común en la vida diaria de un internauta. Sin embargo,  es importante controlar qué información se publica y el potencial impacto que podría tener para nuestra propia seguridad. Lamentablemente algunas personas no son conscientes de este problema y suelen tomarle fotos a los plásticos de sus tarjetas de pago y publicarlos en internet, por lo que cualquier tercero con acceso a estas imágenes puede hacer uso fraudulento de esta información.

530d49bbef917

Un repositorio completo de estas fallas épicas se puede encontrar en @NeedADebitCard

¿Cómo protegerse?

Como se podrá concluir, la solución a este problema es simplemente tomar conciencia de la información compartida por redes públicas y evitar la publicación de información confidencial (incluyendo datos de tarjetas de pago).

Por PCI DSS se requiere una formación continua en seguridad de la información para conocer los diferentes controles, roles y responsabilidades en la gestión de datos de tarjetas de pago.

Requerimiento 12.6. Implemente un programa formal de concienciación sobre seguridad para que todos los empleados tomen conciencia de la importancia de la seguridad de los datos de titulares de tarjetas.

11. Almacenamiento inseguro de datos de tarjetas de pago

Ya sea por facilidad, por comodidad o simplemente por desconocimiento, muchos usuarios suelen escribir los datos de su tarjeta de pago (PAN, PIN o CVV2) en un papel o en un archivo en texto claro. Obviamente, cualquier persona que pueda tener acceso a estos medios de almacenamiento (ya sea físicos o lógicos) podrá visualizar sin problema los datos de la tarjeta de pago con el riesgo de fraude que esto puede conllevar.

card

Por otro lado, aplicaciones como navegadores (browsers), software en teléfonos móviles, discos duros removibles, etc. pueden almacenar datos de tarjetas en texto claro en registros de eventos (logs), archivos de depuración o archivos de historial de transacciones ejecutadas anteriormente.

¿Cómo protegerse?

Algunos consejos para evitar este problema son los siguientes:

El estándar PCI DSS ha definido el Requisito 3: “Proteja los datos del titular de la tarjeta que fueron almacenados” con el fin que los comercios y proveedores de servicio puedan implementar controles robustos cuando se requiere el almacenamiento de datos de tarjetas de pago.

Obviamente este no es un listado exhaustivo, pero si  conoces otras técnicas que empleen los delincuentes para obtener de forma no autorizada los datos de tarjetas  puedes dejarnos un comentario o  contactarnos vía Twitter, LinkedIn, Facebook, Google+ y vía RSS y ampliaremos este artículo.