¿Cómo proteger la información de la tarjeta de crédito de sus clientes con mejores estrategias de seguridad?
Este artículo forma parte de la serie Connected Futures Magazine en español. Vea más en la revista online.
Los delincuentes creen que usar malware para robar datos confidenciales de tarjetas de pago desde los sistemas de puntos de venta (POS) es más eficaz que robarlos directamente desde los comercios electrónicos.
Los consumidores ya comienzan a experimentar la conveniencia de tener quioscos de pago en la mesa, en restaurantes concurridos, y empleados de tiendas equipados con dispositivos de puntos de venta (POS) en el piso durante las horas pico de compras.
Si bien estas tecnologías reducen considerablemente los tiempos de espera y son el ejemplo más tangible de las mejoras que Internet de las cosas (IdC) introdujo en las experiencias de los clientes, también traen consigo graves vulnerabilidades de seguridad.
Estas experiencias, más inteligentes e intuitivas, ofrecen oportunidades a los actores maliciosos para acceder a los datos privados de tarjetas de pago y a información altamente confidencial. Tal como le sucedió recientemente a una cadena de comercios minoristas —la vulneración de sus sistemas por malware— pone en peligro los sistemas de puntos de venta (POS) que hoy son cada vez más populares.
Muchas cadenas nacionales de comercios minoristas han sido noticia cuando sus sistemas de pago fueron vulnerados y se expuso información confidencial de millones de clientes. El Instituto Ponemon descubrió que en 2014, el costo total promedio por la violación de datos de una organización fue de USD 5.400 millones, en comparación con los USD 4.500 millones en 2013. Sin embargo, los importantes costos económicos no son la única preocupación, ya que solo en Estados Unidos se perdieron unos 508.000 puestos de trabajo debido a la actividad maliciosa en línea.
Entonces, ¿por qué los ataques POS son cada vez más populares? Esto se debe a que los delincuentes creen que usar malware para robar datos confidenciales de tarjetas de pago desde los sistemas POS, es más eficaz que robarlos directamente desde los comercios electrónicos.
Los atacantes se volvieron más inteligentes a la hora de descubrir la manera de ingresar a las redes de los comercios minoristas. A menudo, son métodos que exceden el control de estos comercios, tales como las redes de proveedores externos que tienen acceso a los sistemas del minorista. Cuando comprenden las tres tendencias, los comercios minoristas y los proveedores externos pueden implementar estrategias para proteger mejor la información de los consumidores:
- Mayor superficie de ataque habilitada para Internet: Los comercios minoristas buscan constantemente las maneras para ser más competitivo mediante la conexión con sus consumidores. Los quioscos en la tienda, las aplicaciones móviles e incluso Wi-Fi gratuito, se utilizan para atraer a nuevos clientes y mantenerlos conectados, a fin de satisfacer sus experiencias personales y contextuales. La mayoría de estos dispositivos y sistemas en la tienda están conectados a Internet y a la misma red que los sistemas POS en la tienda. Aunque esto acelera las transacciones y genera nuevas oportunidades de ventas y experiencias más enriquecedoras para los clientes y empleados, también genera más entradas en las redes de la empresa.
A medida que IdC evoluciona, el entorno minorista seguirá experimentando ataques mientras nos alejamos de las cajas POS tradicionales. Los dispositivos portátiles para cajas, las máquinas expendedoras de boletos de cine y cualquier otro dispositivo conectado a la red de una empresa son objetivos fáciles de vulnerar, porque los atacantes los conocen muy bien y trabajan para aprovechar cualquier situación a fin de obtener los datos confidenciales de tarjetas de crédito o de consumidores.
- Recursos limitados: Históricamente, se han destinado muy pocos recursos de seguridad a la protección de los sistemas de pago. Sin embargo, cuando esta tendencia de ataque se volvió frecuente, fue esencial que TI garantizara una cantidad adecuada de recursos dedicados a proteger los sistemas de pago y a conocer los puntos de ingreso.
Después de revisar una muestra de redes, Cisco pudo detectar conexiones a dominios de sitios de malware conocidos en el 100% de esas redes. Este hecho obliga a los comercios minoristas a que apliquen mejores prácticas de vigilancia para proteger la información de pago de los clientes. El primer paso es proteger la información de la tarjeta procesada en reposo, mientras se controla el malware y la detección de actividad maliciosa en esas redes.
- El rol de los proveedores externos: El sector minorista recurre a partners para distintos servicios, por ejemplo, almacenamiento de datos, procesamiento de pagos y hasta manejo de las funciones de la planta física, como calefacción y refrigeración de las tiendas tradicionales minoristas. Debido a que estos proveedores externos tienen acceso a las redes de los minoristas, aumenta el riesgo de ser vulnerados, particularmente cuando estos proveedores dan soporte a las soluciones de POS.
La suplantación de identidad por correo electrónico es una de las maneras en la que los proveedores externos son pirateados para obtener acceso a las redes de los comercios minoristas. Episodios de este tipo subrayan la importancia de elegir proveedores externos que apliquen medidas de seguridad rigurosas en sus propias redes. Es muy importante contar con proveedores que cumplan o superen las normas que el comercio minorista tiene para sus redes. Una vez vulnerado, el personal del proveedor externo puede actuar, sin saberlo, como los huéspedes que introducen el malware a los sistemas POS de los comercios minoristas. Solo se necesita que un empleado inocente —que desconoce la estafa de suplantación de identidad— abra un correo electrónico y la red estará en peligro. Los CIOs y CSO deben evaluar todos los puntos de ingreso con acceso a la red y asegurarlos.
Debido a las continuas violaciones de seguridad de POS que fueron noticia y en las cuales se expusó la información confidencial de los clientes, los comercios minoristas deberían considerar la evolución de los sistemas de POS y efectuar los cambios necesarios en las medidas de seguridad para proteger estos sistemas. Las violaciones no ocurren solo en las cajas de POS, ahora también las redes son el camino para que los atacantes se infiltren y lleguen a los sistemas POS. Una vez que la superficie de ataque se amplía, la simple introducción de nuevos dispositivos orientados al comercio minorista en una tienda, puede aumentar el riesgo para la red de POS.
Con el objetivo de combatir estas tendencias y sus efectos devastadores para el comercio minorista, las organizaciones con sistemas POS deberán asumir legítimamente la presencia de malware y evitar su fuga o eliminar de la red la información confidencial del cliente, a fin de preservar la reputación de la marca.
Proteger la información del cliente se reduce a:
– Destinar más recursos a la protección de los datos del cliente.
– Asociarse con proveedores externos para crear una red protegida.
– Conocer dónde se almacena la información del cliente y quién tiene acceso a esta.
Si los consumidores confían en que su información está protegida, los CIOs y CSO tienen una oportunidad única para proteger la reputación de la marca, agregar valor a sus funciones y aumentar la importancia de los trabajos que realizan sus departamentos.
Es poco probable que los piratas informáticos reduzcan el uso de malware para recopilar y robar datos de tarjeta de pago confidenciales, pero cierta ofensiva puede ayudar a reducir los riesgos para los comercios minoristas y los clientes.
Un enfoque de seguridad en práctica y centrado en amenazas reduce la complejidad y, al mismo tiempo, presta visibilidad, control homogéneo y protección contra amenazas avanzada sin igual, antes, durante y después de un ataque.
Tags:
- #BeCyberSmart
- #comunicacionesunificadas
- #CyberSecMonth
- #CyberSecurityMonth
- #educadigital
- #LifeOnWebex
- #NCSAMwithCiscoSecure
- 5G
- Adam Cheyer
- adn datacenters
- Agilidad
- Alianzas
- alumnos
- amenazas
- amenazas cibernéticas
- AMP
- AMP for Endpoints
- Analytics
- Angler
- Angler Exploit Kit
- aplicaciones
- aplicaciones SQL
- Apple
- asesoría
- ataques
- ataques cibernéticos
- ataques informáticos
- atencion al cliente
- atención ciudadana
- atenciónalcliente
- aulas virtuales
- avaya
- awareness
- Banca del Futuro
- BE4K
- Big Data
- blockchain
- blog cisco
- Blogs
- Brand
- Bridge
- Bridge la revista
- Bring your Own Device (BYOD)
- business resiliency
- Bussiness Edition 4000
- BYOD
- Cajatel
- Canalys
- cansac
- cansac ciberataques
- capex
- Carrera Cisco Live 5k
- carrera IT
- CASP
- Catalyst 9000
- CCNA
- CCNP
- centro de datos
- centros de datos
- certificaciones
- CEWN
- ciberataque
- ciberataques
- cibercriminales
- ciberdelincuentes
- Cibersecurity
- ciberseguridad
- ciberseguridad gubernamental
- ciberseguridad pública
- Cisco ACI
- Cisco Advanced Malware Protection (AMP) para Endpoints
- Cisco Campus
- Cisco Catalyst
- cisco certifications
- Cisco CloudCenter
- Cisco CloudLock
- Cisco Colaboración
- Cisco Collaboration
- Cisco Connect
- Cisco Connect LatAm
- Cisco Connected Mobile Experience
- Cisco DNA
- Cisco DNA Spaces
- Cisco DX80
- Cisco Empowered Women´s Network
- Cisco Financial Services
- Cisco Hyperflex
- Cisco Identity Services Engine
- Cisco IWAN
- Cisco Kinetic
- Cisco Live
- Cisco Live 2015
- cisco live 2016
- Cisco Live 2017
- Cisco Live 2018
- Cisco Live Cancún
- Cisco Live Data Center
- Cisco Live LA
- Cisco Live Latinoamérica
- Cisco Live Latinoamérica 2016
- Cisco Live Latinoamérica 2017
- Cisco Meraki
- Cisco MX300
- Cisco MX700
- Cisco MX800
- Cisco Networking Academy
- Cisco Nexus
- Cisco ONE
- Cisco ONE Software
- cisco partners
- Cisco Retail
- cisco secure
- Cisco Security
- Cisco Security Connector
- Cisco Spark
- Cisco Spark Board
- Cisco Systems
- Cisco TAC
- Cisco Talos
- Cisco Tetration Analytics
- Cisco UCS
- cisco umbrella
- Cisco Video Stream
- Cisco WEbEx
- Cisco Webex Meetings
- Cisco Webex Teams
- Cisco360 Series
- CiscoMWC
- CiscoSecure
- ciscosecurre
- ciscospark
- CISO
- Cisoc webex
- CISOs
- Citrix
- ciudad conectada
- ciudad inteligente
- ciudades inteligentes
- CL 2017
- Cloud
- Cloud Day
- CloudLock
- CLUS
- Colaboración
- Colaboracion cognitiva
- colaboración empresarial
- Colaboración en Educación
- colegio
- colegios
- comunicaciones
- Comunicaciones Unificadas
- concurso
- conectividad
- conexiones
- conferencia
- Connected Factory
- Connected Security
- consumer
- Consumer 2020
- Consumidor
- Consumo
- contact center
- contactcenter
- coronavirus
- Costa Rica
- covid-19
- custoemr care
- customer care
- customer journey
- CX
- cybersecurity
- cybersecurity research
- data center
- datos
- DevNet
- DevNet Zone
- Digital Consumer
- Digital Manufacturing
- digital transformation
- Digital Vortex
- digitalización
- Digitalización Cisco
- digitalización educativa
- digitalización gubernamental
- digitalizar
- digitazliación
- dispositivos
- disrupción digital
- DNA
- DNA Advisor
- DNS
- DUO
- Ecosistema Cisco
- educación
- educación conectada
- educación siglo XXI
- educación superior
- educaciones
- el futuro del trabajo
- el nuevo webex
- empleados conectados
- empresa
- empresas
- Energy
- Enterprise
- Enterprise Networks
- Erik Wahl
- escritorio virtual
- estudiantes
- estudio
- estudios
- ETA
- Evento de TI
- Exploits Kits
- fábricas conectadas
- FEI
- FireEye
- firewall
- firewalls
- flexibilidad
- flexplan
- Frost Sullivan
- futuro de la movilidad
- futuro del trabajo
- Gartner
- gobierno
- gobierno digital
- gobiernos
- Google Cloud
- Goverment summit
- hackers
- herramientas de colaboración
- hiperconvergencia
- home office
- Hyperflex
- IA
- IDC
- IdT
- IIoT
- industria
- Industria 4.0.
- Industrie 4.0
- Industry 4.0
- Industry Summits
- infografía
- informe anual de seguridad
- informe de Gartner 2019 “Critical Capabilities for Meeting Solutions
- Infraestructura centrada en aplicaciones (ACI)
- infraestructura inteligente
- ingenieros
- innovación
- integraciones
- Inteligencia Artificial
- intención
- Intent-Based Networking
- intercloud
- interconexión
- Internet
- internet d todo
- Internet de las cosas
- Internet de Todo
- Internet Industrial
- internet of everything
- internet of everything Forum
- IoE
- iOS
- IoT
- IT
- IT Management
- Jabber
- Jeff Loucks
- jordi botifoll
- Kevin Bandy
- kits
- La Red Intuitiva
- latinoamerica
- licencia
- Licencias
- licencias Cisco
- Log4j
- lugar de trabajo remoto
- malware
- Manufactura
- Manufactura Digital
- Manufacturing
- Marketing
- Marketing Velocity
- MarketingVelocity
- Matriz liderazgo de cyberseguridad
- mclaren
- mensajería
- Mes
- México
- MFA
- Microsoft
- Miercom
- millennials
- Millie Bobby Brown
- MindMeld
- Minería
- Mining
- Misión Rescate
- mobile
- Mobile World Congress
- mobility
- month
- Moon Palace
- movilidad
- Mujeres en IT
- multicloud
- Multidominio
- multinube
- MWC17
- NAAS
- NB-09
- negocios
- NetFlow
- NetVet
- network
- Network as a Sensor
- Network Security
- networking
- Neutrino
- Next Generation Firewalls
- Nexus 9000 Switches
- NGFW
- NGIPS
- novedades de Webex
- nube
- Nuclear
- Nyetya
- obsolescencia tecnológica
- Oil & Gas
- Oil and Gas
- Open DNS
- OpenDNS
- opex
- organizaciones
- Packet Analyzer
- pandemia
- partner
- Partner Experience
- Pequeña y Mediana Empresa
- petróleo
- Petya
- Pishing
- políticas de seguridad
- power of 3
- productividad
- Programa IT Management
- Protección de las redes inalámbricas
- proveedor de servicios
- publicidad malintecionada
- punto de persistencia
- PYME
- pymes
- QoS
- Ransomware
- red
- red intuitiva
- redes
- redes definidas por el software
- redes empresariales
- redes inalambricas
- Redes Industriales
- Redes Sociales
- Remove term: internet of everything internet of things
- reporte anual de seguridad
- Reporte Anual Seguridad
- Reporte Medio Año Cisco
- Reporte Semestral de Ciberseguridad
- rescate digital
- retail
- reunion
- reuniones
- reuniones virtuales
- Ridley Scott
- robo de datos
- ROI
- routing
- Salud
- sao paulo
- SASE
- SD WAN
- SDN
- sector publico
- Secure Access Service Edge
- secure X
- securex
- security
- Seguridad
- seguridad de centro de datos
- seguridad digital
- seguridad en la nube
- Seguridad Industrial
- seguridad informatica
- seguridad movil
- seguridad pública
- Seguridad web
- Service Provider
- service providers
- servicios
- servicios cisco
- servicios públicos
- Servicios tecnicos
- servidor
- Servidores
- silos operativos
- Smart City
- Smart Net Total Care
- SMB
- SNTC
- software
- software de seguridad
- Soluciones
- soluciones de colaboracion
- soluciones seguridad
- soporte
- SOS
- spam
- spamware
- Spark
- spyware
- SSID
- StealthWatch
- StealthWatch Learnig Network
- Steve Martino
- straming
- Streaming
- Summit Educación Superior
- suscripción
- switches
- switching
- SYNful Knock
- Talos
- Talos Group
- Technical Seminars
- tecnologia
- tecnología digital
- Telepresencia
- telepresencial
- teletrabajar
- teletrabajo
- teletrabajo herramientas
- tendencias
- Tetration
- The Hub
- The Martian Movie
- The Network Intuitive
- Thousand Eyes
- TI
- tiempo de detección
- tiempo de evolucionar
- TME
- trabajador remoto
- trabajo
- trabajo a distancia
- trabajo en casa
- trabajo híbrido
- trabajo remoto
- trabajoremoto
- tráfico IP
- transformación
- transformación digital
- transmisión en vivo
- transporte
- UCS
- UCS mini
- umbrella
- universidad
- VDI
- video
- video conferencia
- videoconferencia
- videoconferencias
- videovigilancia
- virtual
- Virtualización
- virus
- Vmware
- VNI
- VoIP
- VPN
- vulnerabilidad cibernética
- WAN
- WannaCry
- web
- WebEx
- Webex Calling
- webex meetings
- Webex Share
- Webex Teams
- WebexOne
- WIFI
- Wireless
- World of Solutions
- xdr
- zero trust