Después de la filtración masiva de más de 14.000 datos de tarjetas de pago (incluyendo nombre del titular, PAN, CVV2 y fechas de expiración) de varios bancos chilenos por parte del grupo de hackers The Shadow Brokers (TSB) y reportada por la Superintendencia de Bancos e Instituciones Financieras (SBIF) de Chile este miércoles 25 de julio, la pregunta que muchas personas se están haciendo es: ¿los bancos deben cumplir con PCI DSS? y, si cumplían con el estándar, entonces, ¿por qué ocurrió este incidente?

Para contestar la primera pregunta relacionada con quién debe cumplir con PCI DSS, el propio estándar indica:

“PCI DSS aplica a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comercios, procesadores, adquirentes, entidades emisoras y proveedores de servicios. PCI DSS también aplica a todas las demás entidades que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD) y/o datos confidenciales de autenticación (SAD)”.

A pesar de que explícitamente se especifica que PCI DSS aplica a todas las entidades involucradas en el flujo transaccional con datos de tarjetas de pago, es muy importante tener en cuenta que los requisitos de reporte de cumplimiento varían de una entidad a otra:

  • Comercios y proveedores de servicio: Deben cumplir obligatoriamente con PCI DSS y reportar su cumplimiento de forma anual a través de una auditoria in situ o de un cuestionario de autoevaluación, en función de la cantidad de transacciones que procese anualmente.
  • Adquirientes y emisores (por lo general entidades financieras como bancos y cajas): Deben cumplir con PCI DSS, pero la exigencia de la presentación de un reporte de cumplimiento es discrecional a las marcas y no es obligatorio, de acuerdo con lo indicado en las FAQ #1217 “Does the PCI DSS apply to issuers?” y la FAQ #1216 “Does the PCI DSS apply to acquirers?

Siendo así, es muy probable que los bancos afectados no tuvieran la necesidad de reportar el cumplimiento de PCI DSS a las marcas y, en consecuencia, que su cumplimiento con el estándar no estuviese validado de una forma adecuada.

Figura 1. Captura de pantalla del tweet del grupo “TheShadowBrokers” haciéndose responsable de la filtración masiva de datos de tarjetas de Chile

Por otro lado, PCI DSS estipula si se permite o no el almacenamiento de los datos de tarjetas de pago:

Figura 2. Tabla de requisitos de almacenamiento de datos de tarjetas de pago

Como se puede ver, no se deben almacenar los datos confidenciales de autenticación después de la autorización (incluso si están cifrados). No obstante, para entidades emisoras se permite el almacenamiento de estos datos bajo los siguientes escenarios:

  • Si existe una justificación de negocio.
  • Si los datos se almacenan de forma segura (hash, truncamiento, tokenización o criptografía).

De acuerdo con el documento de la denuncia de la SBIF chilena, se puede observar que dentro de los datos afectados se encuentra el CVV2 de las tarjetas, el cual, al igual que el PAN, debería estar almacenado de forma segura (pero al parecer no era así):

Figura 3. Extracto de la denuncia de la SBIF con la información de las tarjetas que fue comprometida

Más adelante, se informó lo siguiente:

Figura 4. Cantidad de tarjetas activas e inactivas que fueron filtradas

Ahora bien, PCI DSS en su requisito 3.1 indica que se deben establecer límites de retención de los datos de tarjetas de pago almacenados y eliminarlos periódicamente y de forma segura cuando dicho límite haya sido superado:

Figura 5. Requisito 3.1 de PCI DSS relacionado con la retención de datos de tarjetas

Siendo así, ¿por qué se seguían almacenando estos datos de tarjeta si ya no eran operativos y se encontraban inactivos?. Aquí potencialmente habría otro incumplimiento con el estándar.

Por otro lado, el grupo ShadowBrokers informó que había utilizado un exploit de día cero vinculado con un servicio de VPN y otras herramientas para acceder al entorno afectado y que la extracción de datos de tarjetas fue “por diversión”:

Figura 6. Captura de pantalla del tweet de ShadowBrokers donde indican el uso de exploits de día cero

En conclusión: A esperas de los resultados de las investigaciones, es evidente que en algún punto de la cadena transaccional existió un problema de seguridad que no fue identificado a tiempo, ya que es muy posible que las entidades afectadas no cumplieran cabalmente con los requisitos de PCI DSS y que los datos afectados no estuvieran correctamente protegidos de acuerdo con las indicaciones del estándar.

En cuanto se tengan noticias adicionales, os informaremos.