Así es que roban la identidad de tus clientes

(y esto es lo que puedes hacer para evitarlo)

 
 

Presentado por

 
 
 
pablo (5).png
 

Es sábado en la noche, momento de mayor concurrencia de clientes en tu negocio. Mientras tu equipo se prepara para la larga velada, otros, con el optimismo de lo que podrá ser otra buena jornada, también lo hacen.

Te desplazas a la entrada del restaurante, divisando a un grupo de clientes y llevándolos a la mesa en la que disfrutarán la cena. Simultáneamente —casi como si ingresara por la puerta trasera del restaurante y sin ser visto— entra Carlos. Ambos se encuentran en el mismo lugar; la diferencia reside en que Carlos lo hace a millas de distancia, desde una computadora.

Pero, ¿cómo entró Carlos sin ser detectado? Fácil: tu restaurante dejó un punto de acceso a Internet expuesto, dándole la bienvenida virtual a Carlos, un hacker.

Una vez dentro del sistema, Carlos llega a la red que más le interesa: el procesador de tarjetas de pago. Allí se adueña de un sinnúmero de informaciones de tarjetas que fueron utilizadas para pagar las cuentas en tu restaurante esa noche.

Luego de saciar su apetito, Carlos se dirige a un portal que se encuentra dentro de lo que se conoce como la dark web.

 
 
 
pablo (9).png
 

En la dark web, tal cual bufé ilimitado, hay de todo. Es allí donde Carlos puede acceder una página dedicada a la venta de información de las tarjetas de pago robadas de tus clientes. Entre más rápido sea puesta en venta la información de la tarjeta luego de ser robada, más cuesta.

 

pablo (9).png
 

De esta forma es que un hacker vende información de tarjetas de pago a un tercero, que posiblemente la use hasta que sea reportada como robada. Ya a este nivel, la información personal de los clientes y las redes del establecimiento han sido vulneradas, lo que trae serias repercusiones para la operación de tu negocio.

 
 
El negocio de los ciberataques es uno muy lucrativo. Hay estadísticas que apuntan a unos $4 mil millones en ganancias anuales a nivel mundial por robo
— Rafael Sosa Arvelo, director de la Unidad Investigativa de Crímenes Cibernéticos (UICC) del Departamento de Justicia
 
171717.jpg
 

Pero con el paso del tiempo, la cantidad podría ser mayor: el año pasado, $16 mil millones fueron robados de 15.4 millones de consumidores en los Estados Unidos, apuntó el Estudio de Robo de Identidad de 2017, realizado por la firma Javelin Strategy & Research.

En los pasados seis años, los ciberatacantes han robado sobre $107 mil millones, señaló dicho estudio.

El incremento exponencial a través de las décadas de los casos de robo de identidad y las pérdidas billonarias que han generado desembocaron en la creación de un estándar de seguridad de datos, esto es, una guía para que las organizaciones que procesan, almacenan o transmiten datos de tarjetas de pago débito y crédito aseguren la información para evitar fraude. Esta guía se conoce como el Payment Card Industry Data Security Standard (PCI DSS, por sus siglas en inglés).

 
 

Cualquier organización que participe en la cadena de procesamiento, transmisión y almacenamiento de información de tarjetas de pago tiene que cumplir con los estándares establecidos por el concilio del PCI. A nivel local, esta cadena abarca procesadores de pagos como Evertec, First Data, Global Payments, Accepta y Softek, hasta procesadores de pago en los e-commerce como Square.

 
 
 

Evertec es una compañía boricua que procesa 2 mil millones de transacciones anualmente. Mike Vizcarrondo, vicepresidente ejecutivo de Servicios de Pago de Evertec, es el encargado de que el procesador cumpla con las exigencias del concilio del PCI para garantizar la seguridad en cada una de las 2 mil millones de transacciones.

 
 
pablo (10).png
 

Un sinnúmero de exámenes y evaluaciones deben llevarse a cabo anualmente. El no cumplir con las reglamentaciones establecidas por el concilio del PCI trae serias consecuencias. Entre estas están el “hackeo” o exposición de los datos de las tarjetas, la destrucción de la reputación de la organización, la pérdida de ventas y de clientes, sanciones por parte de las marcas de tarjetas de crédito, demandas, multas, reclamaciones de seguros o cancelación de cuentas, entre otras.

Para Vizcarrondo, la seguridad de la data que procesa Evertec no solo recae en un departamento sino en cada eslabón de la cadena de procesamiento, transmisión y almacenamiento de datos de tarjetas de débito y crédito.

“Tenemos un grupo dedicado a monitoreo de fraude, a protección de data y a prevención de ataques. Pero la seguridad de la data viene desde el uso que le da el comercio a la máquina que nosotros le instalamos, hasta el uso que se le da a la data una vez llega a Evertec. Luego, de cómo se almacena esa data y una vez se almacena cómo se protege el almacenamiento”, señaló Vizcarrondo.

 
 

Pero además de todas las medidas de prevención, seguridad y manejo de incidentes que toma la empresa, para cumplir con el estándar del PCI, se han valido del apoyo de GM Security Technologies como auditor externo.

La empresa local forma parte del eslabón de la cadena de recursos que se encarga del análisis de las transacciones de Evertec.

 
 

GM Security Technologies es una empresa que tiene sobre 40 años de experiencia en servicios de seguridad integral y tecnología de la información. En el ámbito del mercado de las tarjetas de pago, la compañía brinda asesoría a procesadores y comerciantes y realiza auditorías a la cadena del procesamiento de las tarjetas, desde que se procesa una tarjeta hasta que se almacena en el procesador.

“Nosotros veíamos que en el mercado de Puerto Rico no había organizaciones que fueran Asesores de Seguridad Calificados del PCI, pero sí veíamos empresas, cooperativas, bancos e instituciones que buscaban compañías que tuvieran la certificación para que le realizaran auditorías. Había una necesidad en el servicio y los recursos que había no eran locales y eran más costosos”, acotó Héctor Guillermo Martínez, presidente de GM Security Technologies.

 
 

Identificando esa oportunidad, GM Security Technologies se convirtió en una organización certificada como Asesor de Seguridad Calificado (Qualified Security Assessor, QSA, por sus siglas en inglés) y Proveedor Aprobado de Escaneo (Approved Scanning Vendor, ASV, por sus siglas en inglés). Estas son dos de las regulaciones más estrictas que existe en el campo de la seguridad de información, explicó Martínez. En Puerto Rico, la compañía goza de ser la única con las dos certificaciones que exige el concilio del PCI para poder auditar.

 
image002.png
 

Entre la cartera de clientes de la empresa boricua se encuentran procesadores de tarjetas de pago como lo es Evertec, franquicias, organizaciones de salud, entidades gubernamentales, aerolíneas, entre otros.

 
image003.png
 

“El comerciante no está anuente a los desafíos que existen en la industria de seguridad de la información. No sabe que si procesa una transacción de pago a través de Internet, hay un riesgo de que esa comunicación sea interceptada por un tercero”, aseguró Martínez.

La desinformación en los comerciantes, apuntó Martínez, desemboca en situaciones desagradables que afectan la seguridad de la información de los clientes y del negocio.

Martínez ofreció como ejemplo el caso en el que un comercio tenía una máquina de gelato muy particular. La máquina, proveniente de Italia, se conectaba a Internet para comunicarse con un servidor en la fábrica y con esto garantizar la calidad del producto. Es decir, para programar la cantidad de los ingredientes que se necesitaban para crear un producto como el recomendado.

Esa conexión se hace de manera automática y era desconocida por el cliente. A través de esa conexión, pueden entrar vectores al sistema y obtener información de otros que estén conectados a la red. Para evitar vulnerabilidades, las redes de Internet que se utilizan en los comercios deben estar segmentadas.

“Si uno tiene un punto de venta, ese punto de venta debe estar separado del resto de los sistemas que utiliza la red para comunicarse. Hay vectores de ataques muy agresivos y sofisticados donde el atacante instala un artefacto como si fuera una computadora muy pequeña que está en la red, que no está segmentada y lo que hace es redireccionar a través de ese punto de entrada o salida la información de tarjetas de pago”, ilustró Martínez.

Más allá de la entrada de los vectores de ataque a los sistemas, aquellos comercios que sufran vulnerabilidades y sean víctimas de robo de identidad pueden enfrentar multas. En el caso de Puerto Rico, hay dos entidades que pueden fiscalizar a un comercio en esta materia: las marcas (Visa, MasterCard, American Express, entre otras) y el Departamento de Asuntos al Consumidor (DACO), cuando los casos son reportados.

“Las multas son bastante agresivas, pues las marcas de tarjetas tienen que velar por el bienestar del tarjetahabiente. Estas multas pueden ser de miles de dólares por cada tarjeta robada”, señaló Martínez.

Precisamente, Cinthia Granados Motley, abogada experta en casos de seguridad cibernética para la firma Sedgwick, afirmó que dependiendo del porcentaje de tarjetas que son procesadas y la cantidad de eventos de brecha de seguridad ocurridos en un negocio, las marcas pueden decidir eliminar la autorización del comercio para procesar tarjetas de crédito.

 
 

Usualmente, los pequeños comerciantes no tienen pólizas de seguridad cibernética que los cubran en caso de que ocurran ataques en su negocio, por lo que una situación a gran escala resultaría en un impacto económico grave para el negocio.

 
 
 

¿Qué herramientas tienen los comerciantes para conocer cuán protegidos están?

 
 
pablo (7).png
 

¿Qué pasa cuando se descubre que un comercio ha sido vulnerado?

 
 

El primero en darse cuenta de que hay una irregularidad es el tarjetahabiente al recibir un estado de cuenta con un cargo que no realizó. El banco emisor de la tarjeta de pago inicia entonces una investigación para ver dónde está el punto común de venta donde sucedió la brecha de seguridad.

Una vez se hace ese ejercicio, el banco emisor de la tarjeta (Visa, MasterCard, entre otros) habla con el procesador (Evertec, entre otros) para que ellos inicien una investigación con el comerciante sobre la posible brecha. Al comerciante le solicitan el último cuestionario de autoevaluación del PCI (Self-Assessment Questionnaire, PCI-SAQ, por sus siglas en inglés) y le envían cartas sobre las posibles multas por la tarjeta de pago robada.

 
 

Al mismo tiempo, el comerciante debe contactar a una compañía que sea PCI-QSA para que lo guíe por un proceso de controles de remediación. El programa de remediación ayuda a subsanar las debilidades que puedan tener en sus sistemas. De ser requerido, también podría hacerse un ejercicio forense, que es más extenso. Tan pronto el problema es resuelto, se crea una declaración de cumplimiento, que es firmada por el consultor certificado como QSA, donde le deja saber al comerciante que está en cumplimiento con los 12 requerimientos del PCI DSS.

Este documento es llevado por el comerciante a su procesador de tarjetas de pago para que sepan que el problema fue remediado. Dependiendo de la gravedad del incidente, la marca puede enviar un auditor anualmente al comercio para verificar el cumplimiento de los sistemas o puede decidir quitarle el procesamiento de tarjetas de pago, al no confiar en el comercio por la cantidad de vulnerabilidades o brechas de seguridad.

 
 
 

¿Qué medidas puede tomar un comercio para evitar los robos de identidad?

  • Verificar si la red está segmentada: Ver si el punto de pago se comparte con la red wifi que le proveen a los clientes, las cámaras de seguridad, entre otros.
  • Verificar si las computadoras del comercio cuentan con un firewall (monitorea y previene el acceso a una computadora de la entrada de redes no autorizadas).
  • Asegurarse que las contraseñas de acceso sean complejas.
  • Tener los antivirus al día.
  • Llevar a cabo escaneos y pruebas de penetración.
  • Limitar el acceso a los portales de pago a ciertos empleados con niveles de privilegio en el sistema. Estos deben ser bien identificados.
  • Establecer una política de seguridad en la compañía: todos deben tener un nivel de vigilancia sobre lo que pudiera ocurrir.
  • Realizar un cuestionario de autoevaluación SAQ, según su nivel.
 
 
pablo (8).png
 

Tanto Vizcarrondo como Martínez concurrieron en que cumplir con las certificaciones que impone el concilio del PCI brinda múltiples beneficios a los dueños de negocio. El cumplimiento hace que los clientes depositen la confianza en su organización y se sientan seguros que llevan a cabo los procedimientos de manera correcta.

 
 

Con el paso del tiempo, los negocios están cada vez más interconectados y enlazados a la web, por lo que para Martínez es necesario informar sobre el PCI DSS y la seguridad cibernética a los comerciantes del país.

“Es crimen organizado, al nivel que el ciberatacante da hasta apoyo técnico 24/7 por teléfono o chat. Los comerciantes no están armados para conocer la superficie del ataque. Más que una evolución es una revolución a los controles tradicionales en la informática. Y esa es la parte que hace falta todavía, crear una capa de concienciación continua hacia los comerciantes y así ser proactivo versus reactivo, como típicamente lo es la industria de la seguridad”, concluyó Martínez.

 
 
 

Conoce más sobre GM Security Technologies y cómo puede proteger a tu empresa de ciberataques. 

 
 

Presentado por

 
Screen Shot 2017-03-27 at 11.13.53 AM.png