La seguridad de los TPV, a examen

Mantener el TPV como un sistema aislado en el que no se permita el acceso a Internet o al correo electrónico es una buena manera de mantenerle a salvo de los ciberdelincuentes.

Los TPV, o terminales punto de venta, se han convertido en el nuevo y lucrativo objetivo de los ciberdelincuentes. Todas las alarmas empezaron a sonar hace algo más de un año, cuando Target, un importante retailer de Estados Unidos anunciaba haber sufrido una brecha de seguridad a consecuencia de un ciberataque contra sus TPV. Los ciberdelincuentes fueron capaces de robar más de 100 millones de datos de tarjetas de crétido y debido. El asunto no sólo acabó con el responsable técnico de la compañía, sino con el propio CEO, que dimitieron meses después de la noticia.

La siguiente gran brecha de características similares afectó a Home Depot, y desde entonces son pocas las semanas que no se publica alguna noticia relativa a malware en TPV. La semana pasada, sin ir más lejos, se hablaba de PoSeidon, un malware descubierto por investigadores de Cisco que aseguran que es peor que el que afectó a Target.

¿Qué tiene un TPV que atrae tanto a los ciberdelincuentes? Pues para David Sancho, responsable del equipo de investigación de Trend Micro, se trata de ordenadores normales pero que están configurados para aceptar pagos. Pero lo peor, según el experto de seguridad, es el doble uso que se da a este tipo de equipos. “Al final muchas de las empresas que utilizan este tipo de ordenadores, en lugar de utilizar terminales protegidos y enlatados para que no tengan otro uso más que este, están compartiendo su utilización con otras cosas, como puede ser acceder al correo electrónico, navegación web, etc., y eso se convierte en una mezcla bastante explosiva, porque se abren las vías de ataque”, asegura Sancho en la entrevista en vídeo.

A esto se añade el hecho de que son terminales que pocas veces se actualizan o parchean.

¿Qué solución hay? “Añadir una política para que estén divididos los terminales que son para recibir pagos y los que son para acceso a usuario”, dice David Sancho, añadiendo que en el caso de que esta medida fuera difícil, hay que integrar medidas de seguridad. “La protección viene por contar con unas defensas activas, por tener antivirus, tener un sistema de firewalls, tener sistemas de actualización que tengan en cuenta que con ese terminal se está accediendo al email… tener una política que incluya todos esos factores para proteger esa caja”.