Seguridad del ecosistema de pagos: lecciones de Heartland y Target

Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago

En un contexto en el que la dependencia de dinero en efectivo se reduce cada vez más y el incremento de los pagos digitales o a través de tarjetas de crédito o débito se vuelve más relevante, resulta importante considerar los riesgos asociados a la seguridad de la información que facilita dichas transacciones. Para hacernos idea de la magnitud de la exposición, aquí dejo un par de cifras:

En los últimos años, Estados Unidos ha experimentado una notable transformación en los métodos de pago en este sentido. Según datos recientes, el efectivo representó el 16% de todas las transacciones en 2022, mientras que las tarjetas de crédito y débito constituyeron el 32% y el 30%, respectivamente. En el ambito de las billeteras digitales, Apple Pay domina el mercado de pagos móviles norteamericano, representando el 92% de las transacciones de débito móvil; mientras Google Pay hace lo suyo en economias emergentes con preferencia por dispositivos android.

En LatAm, el uso del efectivo disminuyó del 45% en 2019 al 21% en 2023. Entre 2021 y 2023, el porcentaje de personas que preferían el efectivo como medio de pago se redujo a la mitad, mientras que la proporción que optó por métodos electrónicos, como tarjetas de débito, crédito y pagos móviles, supero la duplicación.

Por un lado, es de celebrarse que el ecosistema de pagos se modernice hacia la reducción de uso de efectivo el cual resta velocidad a la movilidad de capitales o la trazabilidad transaccional. Pero con dichos avances surgen nuevos riesgos. Dos casos emblemáticos abonan a esta discusión:

Entre el 2007 y 2008, Hearland Payment System, una compañía estadounidense procesadora de medios de aceptación de pagos, fue víctima de un ciberataque masivo que comprometió alrededor de 130 millones de números de tarjetas. El ataque le costó a la compañía más US$200 millones de dólares en gastos y una pérdida de hasta el 77% de precio de sus acciones.

El ataque fue diagnosticado como una inyección de SQL, lo que consiste en ingresar codigo malicioso en la entrada de una aplicación web para manipular bases de datos o ejecutar comandos en un servidor. Aunque la inyección se desarrolló a lo largo de 2007, la vulnerabilidad existió 8 años antes del ataque, por medio de un código escrito para habilitar un un formulario web.

La vulnerabilidad de dicho código permitió a los atacantes ingresar a la red corporativa, en donde pasaron 6 meses intentando acceder a la red de procesamiento. Cuando lograron ingresar a la red de procesamiento, los atacantes instalaron un software de monitoreo y captura de data durante su tráfico (“sniffer”). Dado que en ciertos puntos de la red la información viajaba el texto en claro, los atacantes lograron capturar sufiente data como para crear versiones paralelas de tarjeta que contenian, incluso, la codificada en la banda magnética.

Los procesadores de pago, como Heartland, no son los únicos candidatos de ataque cibernpetico. Todo participante de econosistema de pagos puede estar expuesto.

En 2013, una de las mayores cadenas de retail estadounidense fue el blanco de uno de los casos de uso más interesantes en la materia: Target.

Los atacantes accedieron a la red de la empresa a través de las credenciales comprometidas de un proveedor de servicios de climatización. Una vez dentro, instalaron malware en los terminales de punto de venta (POS) para capturar datos de tarjetas, en el momento de ejecución de la transacción en la misma terminal.. Este ataque comprometió la información de aproximadamente 40 millones de tarjetas y los datos personales de 70 millones de clientes.

Las investigaciones mostraron que los atacantes, por medio de una simple busqueda en Google, obtuvieron 2 piezas clave de información: 1) los proveedores de Target; 2) un caso de estudio publicado por Microsoft en el que revelaban cómo Target usaba Microsoft System Centre Configuration Manager (SCCM) para gestionar maquinas virtuales y ajustes de seguridad, revelando con un gran nivel de detalle la insfraestructura de Target, incluyendo el sistema de gestión de los POS.

Con esta información, a travez de un ataque de phishing dirigido a un proveedor de target, los atacantes instalaron un malware llamado Citadel, mediante el cual obtuvieron las credenciales para accesar al portal de proveedores de Target. Dicho portal no se encontraba aislado de la red de la compañía, por lo que el mismo sirvió de puente para acceder a la red corporativa en donde se accedia a la base de datos de clientes y a la red en donde funcionaban los POS.

Ambos casos dejan lecciones muy importantes, resaltando la relevancia de técnicas, modernas o no, de protección de la información y la necsidad de extenderlas a toda la cadena de suministro de seguridad.

Los estandares PCI DSS (Payment Card Industry Data Security Standard) representan la respuesta que la industria ha orquestado para blindarse de este tipo de eventos. Dichos estándares nacieron en 2004 como una iniciativa conjunta de las principales marcas de tarjetas (Visa, Mastercard, American Express, Discover y JCB) con el fin de establecer un marco de seguridad global que protegiera los datos de los titulares de tarjetas durante las transacciones. Este conjunto de normas que ya cuenta con su versión 4.01., coloca la protección de Primary Account Number (PAN) en el corazón de 12 macro-requerimientos enfocados en generar un ambiente de protección integral de los sistemas críticos de una compañía; en particular, aquellos que interactuan con el PAN.

Ahora bien, PCI DSS por sí solo no es suficiente. Heartland, de hecho, habia obtenido varias certificacioens PCI antes ocurrido en ataque. Debe existir proactividad en la gestión de riesgos de ciberseguridad, así como disciplinada y consistentemente en el uso de herramientas.

Para ambos casos, la primera línea de defensa pudo haber sido la segmentación de red, particularmente aquellas en las que interactuan terceros. Con dicha segmentación, se podría haber logrado aislar su red operativa de manera que esta no abriera puertas a otras redes. De igual manera, no cabe duda que otra gran lección es la gestión estricta de los proveedores de cualquier clase, quienes deben ser tambien condicionados al uso de medidas relevantes de seguridad.

Tambien existen tecnicas que protejen la información, aún cuando el atacante ya se encuentra en casa. Estas tecnicas garantizan que un robo de información resulte inutil para el atacante.

La P2PE («Point-to-Point Encryption»), pudo prevenir la captura de información desde el POS de Target, así como la captura de información en tránsito en las redes internas de Heartland). Esta técnica consiste en convertir datos sensibles (como el PAN) en un formato ilegible mediante un algoritmo criptográfico, que solo puede ser descifrado con una clave específica.

Por otro lado, la Tokenización resulta util para reducir el riesgo asociado con el almacenamiento de datos sensibles. Esta herramienta que se usa para incorporación de tarjetas en billeteras digitales como Apple Pay y Google Pay, consiste en reemplazar datos sensibles con un identificador único (token) sin ni guna vinculación matematica entre con el dato original, que no tiene valor fuera de sistema que lo generó.

Post-mortem resultan claras las formas de reducir el riesgo de ambos casos abordados. No obstante, lo cierto es que la creciente complejidad del ecosistema de pagos y el aumento de las transacciones digitales abren riesgos que probablemente aún no conocemos.

Por suerte, el mundo evoluciona hacia una mayor concientización sobre estos problemas y ningún actor de ecosistema puede ignorar su rol en esta labor. Esta concientización ha permeado tanto en las empresas, gobiernos, como en los mismos certificadores.

Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago.

Por mi parte, me doy por satisfecha si la próxima vez que participes de un simulacro de Phishing en tu empresa, recuerdas este artículo y evitas caer en la trampa.