 Javier Pérez Desde febrero de 2006 se ha generalizado la presencia de terminales Chip and PIN (CNP) en tiendas, restaurantes, cafés, supermercados y en la mayor parte de comercios minoristas del país. Aunque casi todas las fuentes coinciden en que el sistema CNP ha reducido considerablemente el fraude, los minoristas buscan constantemente nuevos métodos de seguridad que les permitan ir un paso por delante de los piratas y delincuentes, y proteger los datos de las tarjetas de pago. Por otra parte, los medios de comunicación dan a conocer periódicamente el robo de datos de millones de tarjetas de crédito aprovechando los fallos de seguridad existentes en los sistemas de pago. Por tanto, las organizaciones deben aumentar su nivel de vigilancia y buscar un sistema de seguridad de tarjetas que les blinde contra cualquier posible vulnerabilidad.
Todos tenemos que pagar nuestra comida, cena o regalos. Para ello en muchas ocasiones pasamos la tarjeta por el terminal inalámbrico CNP, que lee los datos que figuran en el microchip de nuestra tarjeta. A continuación, introducimos nuestro PIN en el teclado del dispositivo y, si esta información coincide con los datos del chip, se autoriza la venta sin que probablemente nos preocupemos más del asunto.
Sin embargo, los datos de nuestra transacción viajan por muchas redes diferentes y son manipulados por múltiples partes interesadas. Una vez introducidos en el sistema del establecimiento, todos los datos se aseguran y encriptan a través de un protocolo de encriptación sólido. La industria de medios de pago (Payment Card Industry o PCI) recomienda no almacenar nunca los datos en formato no encriptado, en ninguna fase del proceso. No obstante, no importa lo segura que esté la información mientras transita por la red de un establecimiento, por ejemplo de un restaurante. Si la red inalámbrica del restaurante no ha sido convenientemente asegurada, nuestros datos personales correrán peligro.
En estas situaciones se puede utilizar un sistema de rastreo Wi-Fi para detectar e interceptar los paquetes de datos transmitidos entre dos dispositivos. Si los comercios no adoptan suficientes precauciones, tales como utilizar un acceso WPA (Wi-Fi Protected Access) un nuevo estándar más seguro que los anteriores frente a la antigua encriptación WEP (Wired Equivalent Privacy), la información podría ser pirateada y los datos de las tarjetas difundidos.
Los comerciantes del sector retail deben asegurarse, por tanto, de que utilizan los últimos estándares de encriptación para proteger los datos de sus clientes y, no sólo estar al tanto de los últimos avances sino también cumplir las normas del sector de medios de pago (PCI) más recientes. Actualmente pocas organizaciones sugerirían un cambio en el método de transmisión de los datos, pero pueden tomar otras medidas alternativas para mantener la seguridad de la información de sus clientes.
Uno de los métodos posibles es la utilización de un sistema inalámbrico de protección contra intrusos (IPS). Se instalan puntos de monitorización que vigilan constantemente las redes inalámbricas que utilizan protocolos 802.11abg. El IPS crea un registro de todos los transmisores inalámbricos válidos y de todos los usuarios autorizados de la red, lo que le permite alertar rápidamente al administrador cuando penetra un usuario no autorizado o cuando se produce una brecha en la seguridad. Este sistema también puede optar por escanear la red en busca de puntos de acceso fraudulentos, que son puntos Wi-Fi instalados por un pirata malicioso para trazar una imagen de la red Wi-Fi de la cafetería, tienda o de cualquier establecimiento.
Recientemente se ha conocido este caso: una persona que visitaba una institución financiera consiguió instalar un punto de acceso oculto pinchando un cable de red al que pudo acceder desde uno de los aseos. Utilizando esta conexión, descargó datos de los clientes desde otro edificio próximo. De manera semejante, los piratas informáticos pueden instalar puntos de acceso para conseguir que los usuarios de ordenadores portátiles, al realizar compras online, introduzcan inadvertidamente sus códigos de acceso, creyendo que son recibidos de buena fe. Pero si han utilizado un punto de acceso fraudulento para conectarse a Internet y han introducido sus datos financieros, podrían estar siendo vigilados, y sus contraseñas y códigos PIN pueden haber quedado archivados.
Convirtiendo un punto de acceso a red en una estación de monitorización, los comerciales pueden examinar constantemente su red para comprobar que los dispositivos no autorizados —en este caso, cualquiera que no sea un lector de tarjetas CNP— accedan a la red. Este tipo de puntos de monitorización pueden además desconectar e impedir que ningún usuario no autorizado acceda a la red rápidamente. En una primera fase se obstruyen los intentos de piratería y se alerta a un miembro del personal para que adopte otras medidas, como expulsar al "hacker" inmediatamente del local.
Los minoristas han de ser conscientes de que asegurar sus redes inalámbricas no consiste sólo en cumplir las normas PCI para controlar sus beneficios, sino que también deben preocuparse por mantener una buena relación con sus clientes. El público confía en que los establecimientos harán de su experiencia de compra algo cómodo y placentero, y es responsabilidad del minorista proteger al cliente mientras se encuentre bajo su techo. Perder los datos de un cliente supondrá, casi con toda seguridad, perder al cliente, y la reputación en los medios de comunicación. Los minoristas deben mantenerse constantemente al día acerca de las mejoras de los sistemas de prevención de la piratería para mantener segura la información de sus clientes y la suya propia. |
