Aunque el ataque en sí mismo impactó solamente en los Estados Unidos, es muy probable de que estés al tanto de la irrupción que sufrió el año pasado el gigante de las ventas al por menor: Target. Según fuentes de la propia empresa, la información de las tarjetas de crédito de 40 millones de consumidores y los datos personales de otros 70 millones quedó expuesta durante casi un mes (abarcando la mayor parte de la época de compras navideñas).
Ustedes podrán suponer que para robar la información crediticia de cientos de millones de compradores de Target, los atacantes necesitan comprometer algún procesador de pagos o, quizás, los servidores corporativos de Target, para así poder acceder a todos los datos masivos centralizados en una sola locación. Esta hubiera sido una buena forma de robar una gran cantidad de información de pago del gigante minorista, pero, extrañamente, no fue esto lo que pasó en el caso de Target.
De hecho, el Sistema procesador de pagos de Target no tuvo mucho que ver con la forma del ataque. Quienquiera que haya sido el responsable de la irrupción a la cadena de almacenes utilizó un tipo especial de malware que básicamente ataca los lectores de tarjetas y las cajas registradoras. A este tipo de malware se lo conoce como Point-of-Sale (PoS) malware.
Para ser claros: los atacantes probablemente se introdujeron en los servidores de pago de Target. En este punto, si bien cuando los datos de las tarjetas de crédito llegan a los servidores, la información está encriptada, hay un pequeño período de tiempo en el que la información debe ser desencriptada en texto plano para la autorización del pago. En ese momento, la caja registradora –o los servidores cercanos, dependiendo del sistema- almacenan la información de pago en la memoria RAM (Random Access Memory)
Aquí es cuando los PoS malwares entran en acción. Los PoS malwares están diseñados para “raspar” esta información no encriptada de la RAM y, así, obtener la información crediticia de los usuarios: los números de las tarjetas, sus nombres, sus direcciones y sus códigos de seguridad. Este tipo de softwares maliciosos conocidos como “raspadores de RAM” existen desde hace seis años. En el caso de Target, es muy probable que los atacantes hayan movido sus PoS malware desde un servidor central hacia las distintas terminales de los puntos de venta. De otra manera, los criminales hubieran tenido que instalar sus raspadores RAM en cada una de las terminales de los comercios de Target, lo cual, a priori, es bastante improbable.
Un investigador de Seculert, durante el análisis del incidente, indicó que los atacantes comprometieron la infraestructura de los puntos de venta de Target por medio de una máquina infectada en su red. Desde allí, instalaron una variación del conocido malware BlackPOS, que se puede comprar fácilmente en distintos foros en línea de hackers (suponiendo que se sabe dónde buscar).
De acuerdo con un boletín emitido por una coalición integrada por el Departamento de Homeland Security (DHS), el Servicio Secreto Estadounidense, el Centro de Integración Nacional de Comunicación y Ciberseguridad, iSIGHT Partners y el Centro de Información y Análisis del Sector Financiero, el BlackPOS es particularmente sencillo de encontrar porque su código fuente se hizo público recientemente.
De todas formas, BlackPOS no es el único tipo de PoS malware que existe, ni Target es la única corporación que debe lidiar con estas amenazas. De hecho, el departamento de ventas de alta gama Nieman Marcus y el minorista Michael’s anunciaron que ellos también fueron víctimas de ataques similares. Algunos especialistas sugirieron que los tres ataques estaban relacionados, pero esas afirmaciones fueron puramente especulativas.
El asesor de la coalición advirtió que los PoS malwares se encuentran al borde de una explosión. Muchas de las nuevas muestras, explica el asesor, serán pequeñas modificaciones de troyanos bancarios ya existentes, como Zeus. A medida que los PoS malwares se tornan cada vez más disponibles para los criminales y más visibles para las autoridades, los creadores de los raspadores de RAM (así como lo hicieron los creadores de los troyanos bancarios anteriormente) comenzarán a diseñar troyanos más difíciles de detectar, para luego venderlos individualmente.
Las compañías de la coalición notificaron que hubo un aumento de avisos clasificados (en diferentes idiomas) sobre PoS malware en foros de desarrolladores freelance. En otras palabras, los criminales están publicando avisos ofreciendo dinero a desarrolladores freelance para que creen raspadores de RAM. Las empresas aseguran que la misma situación ocurrió en 2010. En ese año, cada proyecto subcontratado de PoS malware era valuado entre u$s425 y u$s2500. Hacia finales de 2010, la tarifa se elevó a u$s6500, a medida que el interés en los malware continuaba creciendo.
Por otra parte, los expertos de la coalición consideran que la proliferación de PoS malware se intensificará a partir de la generación de troyanos encargados de robar credenciales. Éstos troyanos tienen un amplio acceso a los códigos fuente que pueden ser fácilmente modificados para realizar operaciones de raspado de RAM.
“Un código fuente de una credencial robada podría proporcionar una plataforma de partida para aquellos actores que no tienen la habilidad suficiente para crear un nuevo tipo de malware para el raspado de RAM o para aquellos actores que buscan aprovechar los trabajos hechos previamente para optimizar la eficiencia de sus esquemas de ataque”, detalló el asesor. “El hecho de que las barreras de entrada al mercado sean tan débiles podría desembocar en nuevos tipos de oferta y demanda de PoS malware y derivar en precios bajos y usos extensivos.
Esto es clave. Este paradigma existe para cada faceta de cibercrimen. Al principio, los ataques son nuevos, difíciles de realizar y difíciles de replicar. Eventualmente, estos ataques ser irán volviendo cada vez más sencillos, lo que le dará a los atacantes menos experimentados la posibilidad de realizarlos. Asimismo, los criminales más experimentados comenzarán a crear “kits de ataque” de fácil uso. Éstos le permitirán a cualquier persona con un teclado y una mala actitud participar en el cibercrimen.
Esta es una situación en donde no hay mucho que se pueda hacer. Obviamente no puedes entrar en un comercio de comestibles y reemplazar todas las máquinas vulnerables que utilizan Windows XP por una infraestructura más moderna y segura. Es poco lo que puedes hacer para asegurarte de que los comerciantes están siguiendo las mejores prácticas en seguridad o verificando que cada equipo en su red está protegido.
Otro problema es que, seguramente, vayan a producirse otros ataques e irrupciones, de los cuales nunca nos enteremos, ya sea porque la compañía víctima del ataque es deshonesta o porque evita brindar información al respecto. En el caso de Target, las autoridades de la cadena de almacenes fueron claras y directas respecto de lo sucedido. Muchos bancos publicaron noticias en sus páginas web advirtiendo a sus clientes del riesgo, lo cual les permitió a los usuarios monitorear sus cuentas o, incluso, reemplazar las tarjetas comprometidas. Eso es, esencialmente, todo lo que puedes hacer: leer las noticias, controlar el balance de tu cuenta bancaria y conseguir nuevas tarjetas si la situación lo requiere.
Traducido por: Guillermo Vidal Quinteiro