1

RSA:”2014 fue un año de vulnerabilidad y robo de datos”

Según la empresa de seguridad cibernética RSA, durante el 2014, la violación a sistemas de puntos de venta de las cadenas de tiendas minoristas y el robo de datos de tarjetas de crédito de millones de compradores ocuparon los titulares de los diarios, más que cualquier otro fraude o cibercrimen. La mayoría de estas violaciones puede atribuirse a ataques de malware en los puntos de venta.

A pesar de la facilidad de apuntar a la información bancaria y de tarjetas de crédito de usuarios individuales, los cibercriminales encuentran a las tiendas minoristas mucho más lucrativas. Un método común de ataque e infección es aprovechar la conexión de acceso remoto del proveedor en el punto de venta (mediante RDP/VNC), para realizar un mantenimiento rutinario en el dispositivo.

La mayoría de los atacantes de malware en los puntos de venta enumeran los procesos en ejecución y utilizan coincidencias de patrones (mayormente, RegEx) para identificar y extraer información sobre tarjetas de crédito de la memora del proceso en ejecución.

Entre los malware en puntos de venta, se incluyen los siguientes:

Chewbacca: un troyano privado que incluye dos mecanismos de robo de datos distintos: un registrador de digitación genérico y un escáner de memoria diseñado para atacar específicamente sistemas de puntos de venta. Fue identificado como un posible agente de las violaciones que afectaron a las tiendas minoristas en 2014.

Backoff: en puntos de venta, incluye un registrador de digitación, un capturador de memoria y un recopilador de datos magnético Track1/Track2, con compatibilidad adicional con lectores de tarjetas magnéticas integrados en el teclado.

LusyPOS: incluye un recopilador de datos magnético Track1/Track2 que se comunica por la red TOR, lo que hace que las comunicaciones y los servidores C&C sean más difíciles de detectar.

Malaware para dispositivos móviles evoluciona

Con la progresiva adopción de la movilidad y el modelo BYOD, las amenazas para dispositivos móviles continuaron logrando un impulso considerable en 2014. La cantidad combinada de malware móvil y aplicaciones de alto riesgo alcanzó los dos millones, un crecimiento de 170,000 por mes.

En el segundo trimestre de 2014, el 85 % del mercado de dispositivos móviles estaba ocupado por Android, y el 98 % de la totalidad del malware afectó a usuarios con este tipo de dispositivos.

Bot móvil de iBanking: un secuestrador de SMS diseñado para trabajar conjuntamente con troyanos bancarios. Fue descubierto en salas de conversación clandestinas por el Equipo de investigación de RSA en febrero de 2014, y código fuente filtrado reveló capacidades y mecanismos de protección contra SDK avanzados.

El bot cuenta con varias funciones, incluidas la enumeración de todas las aplicaciones instaladas en el dispositivo infectado, la recopilación de imágenes del dispositivo y la obtención de datos precisos de ubicación geográfica. Una función agregada es la creciente compatibilidad con entidades objetivo adicionales; un análisis reciente identificó casi 30 plantillas gráficas para iBanking.

Mercado clandestino se desarrolla

El mercado clandestino continúa desarrollándose, lo que permite a los estafadores contratar servicios externos con mayor facilidad. El Equipo de Investigación de RSA ha identificado tendencias notables en el transcurso del año: la emergencia de monedas específicas de foros (MUSD, UAPS, United Payment System); un sistema de pago anónimo y nuevo, conocido como LessPay; y una oferta y demanda que no sólo disminuye los costos de las credenciales, sino que también genera el advenimiento de una aplicación móvil para tiendas CC.

Fraude en cada región

Una tendencia que parece ganar terreno es el fraude específico de cada región que está dirigido a una geografía o idioma en particular. Los países latinoamericanos están experimentando un aumento en el fraude financiero en 2014, con estafadores que comienzan a desarrollar una sofisticación en sus herramientas y sus métodos.

Entre los casos de fraudes latinoamericanos, se incluye el siguiente:  Fraude de Bolware y Boleto: en julio, el Equipo de Investigación de RSA descubrió que una gran red de estafadores había afectado el popular método de pago Boleto en Brasil mediante la implementación de malware que se estima que facilita el robo de miles de millones de dólares de víctimas inocentes.

Mientras el fraude de Bolware y Boleto continúa evolucionando como una versión “Onyx” de Bolware, también se detectó un método de infección de DNS no relacionado con malware que afectó las transacciones de Boleto.

 

 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.