La conocida tienda Home Depot ha confirmado que sufrió una brecha de seguridad que afectó a sus tiendas en Estados Unidos y Canadá, y este nuevo incidente no hace más que recordarnos que las empresas del sector retail son un frecuente blanco de ataques -basta recordar los casos de eBay y Target.

El comunicado oficial dice:

El pasado martes 2 de septiembre revelamos que estábamos investigando una posible brecha en nuestros sistemas de datos de pago. Queremos que sepan que hemos confirmado que esos sistemas, en efecto, han sido comprometidos, lo cual podría impactar en cualquier cliente que haya usado su tarjeta de pago en nuestras tiendas de Estados Unidos y Canadá, desde abril en adelante. No tenemos evidencia de que la brecha haya impactado tiendas en México o clientes que compraron online en HomeDepot.com

La información robada le permite a los delincuentes crear copias falsas de tarjetas de crédito y débito, que pueden ser usadas para comprar. Pero si quienes compran tarjetas robadas logran cambiar el PIN de las cuentas, pueden incluso utilizarlas para sacar dinero de cajeros automáticos, tal como afirma el sitio Krebs on Security.

La puerta de entrada de los cibercriminales parecería ser una débil autenticación en los sistemas de la compañía, y malware que se instaló en la red o en los dispositivos de Punto de Venta o Point of Sale (PoS). Ya hemos visto qué amenazas atentan contra estas terminales.

En ese sentido, ya que las empresas del sector comercial están orientadas a garantizar la satisfacción del cliente, no pueden permitirse que ciertos episodios como los anteriormente mencionados, fuga de información o ataques dirigidos a su operación normal dañen su imagen, o la calidad del producto que ofrecen. Los casos de Home Depot, Target, eBay, y recientemente UPS, nos muestran que los criminales están sumamente interesados en las máquinas lectoras de tarjetas o PoS.

Entonces, ¿cómo proteger los puntos de venta?

Medidas necesarias incluyen la implementación de doble autenticación para los usuarios que accedan al sistema de pagos, y el bloqueo de aquellos que intenten acceder tras un determinado número de intentos errados.

De forma complementaria, podemos listar estos 5 controles:

  • Compromiso de los proveedores

Las medidas de seguridad propias pueden no ser suficientes cuando un proveedor externo es víctima de un ataque informático, por lo cual es pertinente asegurarse de que está en el mismo nivel en lo que refiere a protección.

  • Compromiso de los administradores del servidor

De igual forma, con las credenciales robadas de un proveedor y aprovechando vulnerabilidades web como inyecciones SQL, ataques XSS o 0-day, el atacante podría escalar privilegios y atacar sistemas internos.

  • Constante mantención de sistemas

Naturalmente, la actualización periódica del software es primordial para evitar vulnerabilidades y mitigar sus posibles riesgos antes de que los atacantes las encuentren y las exploten.

  • Revisar el tráfico saliente

Monitorear la red puede ayudar a detectar intrusos y comportamientos sospechosos. La información que roba este tipo de malware es enviada fuera de la compañía a través de FTP, por lo que se podría identificar el texto conteniendo datos de tarjetas de crédito saliendo de la red privada de la compañía.

  • Siempre cambiar las contraseñas por defecto

Las claves por defecto son frecuentemente publicadas de alguna forma, lo cual deja a los equipos vulnerables. Es imperioso cerrar todas las posibles puertas de entrada de los criminales, y estas credenciales son una de ellas, por lo cual se debe cambiarlas inmediatamente.