Cómo es la ciberamenaza que atenta contra los módulos de pago con tarjeta

Compras con Tarjetas Bancarias

La más reciente versión de malware del grupo brasileño Prilex atenta contra los sistemas de pago en el comercio, es uno de los más avanzados de su tipo y es capaz de bloquear las transacciones vía NFC. Aquí, explicamos cómo opera y cómo prevenir este ataque, con una recomendación ya conocida: no abrir ningún e-mail ni descargar softwares de origen desconocido. Un consejo válido tanto para personas como para comercios y empresas.


Así como progresivamente surgen nuevas soluciones para los usuarios y empresas, los cibercriminales están constantemente generando diversas trampas para vulnerar la seguridad de estos sistemas, herramientas o dispositivos.

Cada paso que dé, o lanzamiento que realice alguna firma, viene seguido de los piratas de la red, y los ciudadanos están en un continuo nuevo peligro. Así lo comprobó Kaspersky en uno de sus recientes informes, en el que develó la aparición de nuevas versiones de Prilex, un peligroso malware de origen brasilero que puede robar la información de los usuarios, credenciales bancarias y su dinero.

Básicamente, este malware opera en los PoS de pago cuando los usuarios realizan pagos contactless con sus tarjetas bancarias en el comercio. La transferencia NFC, que es la que permite la transacción sin insertar la tarjeta en un módulo, queda bloqueada y obliga a la persona a insertar el plástico en el equipo, donde está alojada la trampa. Con eso, los delincuentes pueden leer la información de la tarjeta y sustraerla, para clonar las credenciales.

Ya a principios de 2022 la empresa de seguridad había alertado del malware, pero para fines de año encontraron tres nuevas versiones de software malicioso. La información generada por los pagos sin contacto es escasa, por lo que infectar estos aparatos para que las personas deban insertar su tarjeta en la máquina es una de las medidas más eficientes para los cibercriminales, que pueden sustraer de esta manera datos de forma más directa.

ATM
Prilex comenzó con un esquema de ataques a cajeros automáticos (ATM), pero luego evolucionó a los módulos de pagos en los comercios particulares (PoS) en los que los usuarios pueden realizar transacciones sin contacto.

Vale precisar que la incidencia no se da a nivel bancario, sino en los equipos para realizar las transacciones. En ese sentido, los infectados son específicamente “los intermediarios” entre el comercio y el pago realizado desde una cuenta en una institución financiera. Pero lo que se ve hoy en día es una evolución de la amenaza original, que comenzó infectando algunos cajeros automáticos en Brasil —superando los mil aparatos— y que se acercó en ese entonces a las treinta mil tarjetas clonadas hacia 2016.

Las primeras luces del Prilex PoS vinieron luego de su Prilex ATM, enfocado en cajeros automáticos. Estuvo muy activo en 2020, pero bajó su presencia durante dos años, hasta que recientemente se descubrieron estas tres nuevas ramas, que están muy avanzadas y tienen una alta complejidad.

Considerando que la pandemia fue uno de los impulsores del pago contactless en los comercios, es entendible que el siguiente blanco por parte de los cibercriminales fueran los propios sistemas de pago en el comercio, viendo que los usuarios cada vez usaban menos efectivo y he ahí el fortalecimiento de su método de ataque.

De esta manera, Prilex PoS se suma al las distintas técnicas de robo sigiloso que han ido al alza en el último periodo, al actuar de forma silenciosa y sin que los usuarios noten siquiera que sus datos han sido vulnerados. En más de alguna ocasión a alguien puede haberle ocurrido un error de lectura de tarjeta, o encontrarse con un sensor de un PoS que no funcione, y naturalmente opte por insertar la tarjeta. En el caso de ser un equipo “infectado”, la persona podría verse afectada. Con esto, los piratas pueden realizar transacciones “fantasmas” con las credenciales del usuario.

Credit Card
Prilex PoS bloquea las transacciones sin contacto realizadas en los sistemas de pago y obliga a los usuarios a insertar su tarjeta en el equipo. En ese momento, los criminales pueden sustraer la información y credenciales, y además clonar el plástico.

Prilex es el primero en el mundo en poder bloquear transferencias por pago en NFC, y el grupo homónimo detrás de este ataque ha escalado en su desarrollo, transformándolo en uno de los más avanzados de su tipo. Pero existen otro tipo de amenazas de otros países cercanos. Por ejemplo, si hace algunos meses se volvió a hablar de Prilex en Brasil y su posible expansión a las naciones colindantes, en México se habla ahora de FiXS, un malware orientado a cajeros automáticos que dio de qué hablar desde principios de febrero.

Cómo se concibe el ataque

Así como en muchas otras ocasiones, la ingeniería social cumple un rol relevante en la infección de los dispositivos de pago. De acuerdo a los informes de Kaspersky, el software malicioso llega mediante un correo electrónico a las posibles víctimas, afirmándoles que existe una actualización de un servidor remoto.

Son tres elementos los que componen al ataque de Prilex. Primero está el malware en sí, que se encarga de interceptar la información de los usuarios una vez que estos insertan sus tarjetas en el módulo; luego existe un servidor externo en el que los cibercriminales administran la información sustraída —y que es el que instalan las víctimas a través del correo electrónico—; y la plataforma en la que el pirata puede ver, clonar y almacenar estadísticas.

De acuerdo al formato al que las víctimas se exponen —un correo electrónico a través del cual se les envía la falsa actualización de servidor—, se presume que el ataque está orientado a comercios menores, como bencineras, tiendas de barrio y minimarkets, entre otros, pero no se descarta que pueda llegar a comercios de mayor alcance.

La información sustraída por los piratas les facilita la creación de tarjetas clonadas y realizar transacciones como si se tratara de las credenciales originales de los usuarios. ¿Lo peor de todo? El sitio web del Grupo Prilex es público en la red y ahí comercializan su Daphne V3.0, con el que pueden reescribir y clonar tarjetas.

En su plataforma declaran: “Esta vez, seremos selectivos con las personas a las que les venderemos el software de chip EMV más actualizado del mundo. El anonimato es clave aquí, no debe haber filtraciones a las autoridades, por lo que solo los caballeros que tienen la experiencia necesaria para operar un software tan poderoso de manera silenciosa y que pueden mantener la discreción sobre ellos y nuestro negocio podrán recibir Daphne v3.0″.

Sobre Prilex en sí mismo, desde Kaspersky indican que su presencia se ha expandido hacia otros países del globo. Por ejemplo, hacia 2019 se detectó su actividad en Alemania, cuando se piratearon tarjetas de crédito Mastercard emitidas por un banco de ese país. Sustrajeron más de €1.5 millones a unos dos mil clientes. Pero eso solo en su variante ATM para cajeros automáticos y hay que esperar a ver cómo evolucionan con la implementación de sus nuevas herramientas criminales.

Comenta

Por favor, inicia sesión en La Tercera para acceder a los comentarios.

Este evento, que reunió en el Teatro Municipal de esa ciudad a expositores de distintas soluciones tecnológicas -entre ellos, Kinesix VR, Zeus y Huawei, partners de Claro empresas- fue también el punto de partida para la nueva Corporación de Innovación y Desarrollo Sostenible de la Ciudad Jardín.