Video: Delitos de “hackers” que sí te llevan a la cárcel (Noviembre 2024)
Las recientes violaciones de datos en Target, Neiman Marcus y otros puntos de venta minoristas han demostrado que cumplir con los estándares de la industria no se traduce en una mejor seguridad. Entonces, ¿por qué estamos perdiendo el tiempo con una lista de verificación?
Los atacantes interceptaron los detalles de la tarjeta de pago mientras se deslizaban las tarjetas y antes de que la información pudiera encriptarse, los ejecutivos de Target y Neiman Marcus testificaron el 5 de febrero en la audiencia del Subcomité de Comercio, Manufactura y Comercio del Comité de Energía y Comercio de la Cámara. "La información se obtuvo inmediatamente después del deslizamiento, milisegundos antes de ser enviada a través de túneles encriptados para su procesamiento", dijo Michael Kingston, vicepresidente senior y CIO de Neiman Marcus.
Cuando se deslizan las tarjetas, la información de la banda magnética no se cifra. La única forma de evitar que el malware en los terminales de punto de venta de los minoristas obtenga la información es cifrar los datos desde el principio. La cuestión es que el cifrado de extremo a extremo actualmente no está obligado por las regulaciones de la industria, lo que significa que esta brecha no desaparecerá pronto.
Incluso el cambio de tarjetas de banda magnética a tarjetas con chip EMV no resolvería el problema de cifrado de extremo a extremo, ya que los datos aún se transmiten en texto claro en el momento en que se están deslizando. Es necesario adoptar las tarjetas EMV, pero no será suficiente si las organizaciones no piensan en reforzar todos los aspectos de sus defensas de seguridad.
PCI-DSS no funciona
Los minoristas, cualquier organización que maneja datos de pago, realmente deben cumplir con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) para garantizar que la información del consumidor se almacene y transmita de forma segura. PCI-DSS tiene muchas reglas, como asegurarse de que los datos estén encriptados, instalar un firewall y no usar contraseñas predeterminadas, entre otros. Parece una buena idea en el papel, pero como han demostrado varias violaciones de datos recientes, el cumplimiento de estos mandatos de seguridad no significa que la compañía nunca será violada.
"Claramente, el cumplimiento de PCI no funciona muy bien, a pesar de los miles de millones de dólares gastados por comerciantes y procesadores de tarjetas en los esfuerzos para lograrlo", escribió Avivah Litan, vicepresidente y analista distinguido de Gartner, en una publicación de blog el mes pasado.
El estándar se centra en las medidas defensivas convencionales y no se ha mantenido al día con los últimos vectores de ataque. Los atacantes en la última ronda de violaciones de minoristas utilizaron malware que evadió la detección de antivirus y los datos cifrados antes de transferirlos a servidores externos. "Nada de lo que conozco en el estándar PCI podría haber captado estas cosas", dijo Litan.
Litan culpó directamente de los incumplimientos a los bancos emisores de tarjetas y a las redes de tarjetas (Visa, MasterCard, Amex, Discover) "por no hacer más para evitar las debacles". Como mínimo, deberían haber actualizado la infraestructura de los sistemas de pago para admitir el cifrado de extremo a extremo (del minorista al emisor) para los datos de la tarjeta, de la misma manera que los PIN se administran en los cajeros automáticos, dijo Litan.
Cumplir no es seguridad
Nadie parece tomar en serio la pegatina compatible con PCI. El informe de cumplimiento PCI de Verizon 2014 recientemente publicado encontró que solo el 11 por ciento de las organizaciones cumplían completamente con los estándares de la industria de tarjetas de pago. El informe encontró que muchas organizaciones gastan mucho tiempo y energía para aprobar la evaluación, pero una vez hecho esto, no pudieron o no pudieron mantenerse al día con las tareas de mantenimiento para cumplir.
De hecho, JD Sherry, director de tecnología pública y soluciones en Trend Micro, llamó a Michaels y Neiman Marcus como "delincuentes reincidentes".
Aún más inquietante, alrededor del 80 por ciento de las organizaciones cumplieron "al menos el 80 por ciento" de las normas de cumplimiento en 2013. Cumplir con "la mayoría" suena sospechosamente como "no conformes", ya que hay un hueco en alguna parte de la infraestructura.
"Una idea errónea común es que PCI fue diseñado para ser un todo para la seguridad", declaró Phillip Smith, vicepresidente senior de Trustwave, en la audiencia de la Cámara.
Entonces, ¿por qué seguimos con PCI? Todo lo que hace es liberar a los bancos y VISA / MasterCard de tener que hacer algo para mejorar nuestra seguridad general.
Centrarse en la seguridad real
Los expertos en seguridad han advertido en repetidas ocasiones que centrarse en una lista de requisitos significa que las organizaciones no notan las brechas y no pueden adaptarse a los métodos de ataque en evolución. "Hay una diferencia entre el cumplimiento y la seguridad", señaló la representante Marsha Blackburn (R-Tenn) en la audiencia de la Cámara.
Sabemos que Target ha invertido en la tecnología y en un buen equipo de seguridad. La compañía también ha gastado mucho tiempo y dinero para lograr y demostrar el cumplimiento. ¿Qué pasaría si, en cambio, Target podría haber gastado todo ese esfuerzo en medidas de seguridad no mencionadas en PCI, como la adopción de tecnologías de sandboxing o incluso segmentar la red para que los sistemas sensibles se tapen?
¿Qué pasaría si, en lugar de pasar los próximos meses documentando y mostrando cómo sus actividades se asignan a la lista de verificación de PCI, los minoristas podrían centrarse en adoptar múltiples capas de seguridad que sean ágiles y puedan adaptarse a los ataques en evolución?
¿Qué sucede si, en lugar de que los minoristas y las organizaciones individuales se preocupen por PCI, responsabilizamos a los bancos y las redes de tarjetas? Hasta entonces, vamos a seguir viendo más de estas infracciones.
