En caso de que las noticias sobre el ataque a Target del año pasado no hayan tenido suficiente impacto, resaltamos: los criminales están sumamente interesados en las máquinas lectoras de tarjetas en los puntos de venta minoristas -PoS, por sus siglas en inglés.

Como pasan tantos números de tarjetas de crédito por estos sistemas y no suelen estar lo suficientemente protegidos, constituyen oportunidades de robo muy fáciles para los criminales. Hace poco se encontró un nuevo tipo de malware que intenta irrumpir específicamente en las máquinas de los PoS; las soluciones de seguridad de ESET detectan esta amenaza como Win32/BrutPOS.A.

El objetivo de BrutPOS es tratar de abrirse paso por fuerza bruta en las máquinas de los PoS mediante la prueba de una gran variedad de contraseñas (las más utilizadas) con el objetivo de iniciar la sesión a través del protocolo de escritorio remoto (RDP). Hasta el momento no está claro cómo se propaga este malware, pero es probable que sea solo un componente de un kit de herramientas de un atacante; es decir, que se utilice en conjunto con otro malware, posiblemente dependiendo de las defensas (o falta de ellas) de las máquinas bajo ataque.

Una vez que logra infiltrar la máquina, el troyano instala un malware para los PoS denominado “RAM Scraper”, que recopila números de tarjetas de crédito desde la memoria de la máquina de PoS y luego envía dichos datos a los atacantes a través del protocolo FTP. Muchos de estos sistemas en los que se encontró el malware pertenecen a pequeños negocios, que constituyen los objetivos más buscados en este tipo de robo.

Si tienes una máquina lectora de tarjetas en un PoS, hay algunas cosas que puedes hacer para ayudar a proteger los sistemas de este tipo específico de ataque.

  • Usa una contraseña fuerte

Ya se ha escrito mucho sobre la importancia de elegir una contraseña fuerte (y las tácticas para hacerlo), y aún así sigue habiendo malware capaz de infiltrarse en equipos por tener contraseñas débiles. En este caso es importante notar que muchas de las contraseñas utilizadas en las máquinas infiltradas eran las contraseñas predeterminadas o simples variantes del nombre del fabricante del PoS.Por ejemplo, las tres contraseñas más comunes fueron “aloha12345”, “micros” y “pos12345”. Es mucho más conveniente utilizar una frase de contraseña en lugar de una simple palabra, ya que una frase se puede recordar fácilmente y aún así llevaría demasiado tiempo adivinarla debido a su longitud.

  • Limita los intentos de inicio de sesión

Cuando hayas puesto una contraseña fuerte, configura la máquina para que cuente: limita los intentos de ingresar a las máquinas a unos pocos. Un rango común es bloquear a las personas tras entre 3 y 5 intentos incorrectos.Esta acción reducirá drásticamente la eficacia de los ataques por fuerza bruta, ya que el atacante no logrará probar la suficiente cantidad de contraseñas incorrectas hasta poder adivinarla.

  • Limita el acceso

Aquí hablamos mucho sobre el Principio del menor privilegio posible y los peligros de habilitar el protocolo RDP. Este malware está lejos de ser el primero que aprovecha las contraseñas débiles o el poder del RDP. Para ponerlo en pocas palabras: limita el acceso siempre que puedas.Por ejemplo: si no necesitas acceder remotamente a la máquina, no habilites el RDP. Si necesitas habilitar el RDP, asegúrate de que sea seguro.

Este artículo de la University of California Berkeley tiene muy buenos consejos que te pueden ser de ayuda. Asimismo, la limitación del acceso por el FTP puede resultar un obstáculo para los atacantes cuando intentan extraer los datos de las tarjetas de crédito.

Hay muchas otras cosas que puedes hacer para ayudar a proteger tu máquina de PoS, que son en gran parte las mismas medidas que tomarías para proteger cualquier otro equipo en Internet, incluyendo actualizar con regularidad el software y usar una solución de seguridad. Esta publicación del equipo US-CERT entra en más detalles específicos para administrar los sistemas de PoS.

Es un buen recordatorio de que toda máquina conectada a Internet puede y debe protegerse, y de que las técnicas para hacerlo son básicamente las mismas más allá del sistema operativo. Cuando aprendas a tener hábitos de buena seguridad, podrás utilizar los mismos principios básicos en cualquier sistema que administres