Filtración de tarjetas de crédito: comercios no están obligados a cumplir estándares de seguridad
Se trata de la norma de seguridad conocida en la industria como PCI-DSS por su nombre en inglés (Payment Card Industry Data Security Standard), la cual solo es obligatoria para empresas emisoras como Transbank, Multicaja, Redbanc o Nexus.
La filtración de los datos de más de 14 mil tarjetas de crédito y débito informada este miércoles por la Superintendencia de Bancos e Instituciones Financieras (Sbif) encendió las alarmas respecto a cómo se maneja y almacena la información que se ingresa al sistema al momento de pagar una compra.
A pesar de que la cifra de tarjetas activas cuyos datos se filtraron es bajo -“menos de 1 de cada 10 mil de las tarjetas del país”, según señaló el ministro de Hacienda Felipe Larraín- la pregunta por el origen de esta publicación de datos parece seguir sin respuesta. Considerando además que, según lo señalado por el Gobierno, aún no es posible descartar que esto haya sido un “elemento distractor”.
Fuentes vinculadas a la ciberseguridad consultadas por El Dínamo señalaron que es poco probable que un ataque afecte a casi todos los bancos del sistema chileno al mismo tiempo, razón que fundamentaría el que el ataque se produjo a través de un comercio adherido.
Esto, dado que los datos de las tarjetas bancarias son entregados por los clientes de múltiples formas, tanto de manera presencial (utilizándola al momento de pagar o llenando un formulario para la contratación de pago automático para algún servicio), como haciendo ingreso de esa información a través de los portales web de datos.
Bajos estándares de seguridad
Transbank y Webpay son los sistemas que utilizan la mayoría de los comercios para gestionar sus transacciones tanto de manera presencial en los puntos de venta como a través de sus páginas web, respectivamente. Y estos cuentan con estándares de seguridad certificados por organismos internacionales que aseguran que los datos de las tarjetas no están siendo almacenados luego de que se ha generado el pago.
En concreto, se trata de la norma de seguridad conocida en la industria como PCI-DSS por su nombre en inglés (Payment Card Industry Data Security Standard), que está orientada a la protección de los datos de las tarjetas a fin de evitar filtraciones. Esta rige para las empresas Transbank, Multicaja, Redbanc o Nexus, ya que prestan servicios como emisor o al poner a disposición de la banca un terminal de venta en un comercio.
Sin embargo, cumplir este estándar no es obligatorio en Chile para los comercios que poseen sus propias plataformas de pago.
Según Alejandro Figueroa, experto en ciberseguridad bancaria, “no existe la obligatoriedad de que las empresas se certifiquen en el tratamiento de los datos de tarjeta de crédito, como sí existe en Estados Unidos, por ejemplo, y tampoco existe sanción para las empresas que no tengan esta certificación”.
Vulnerabilidades de este tipo tendrían, por ejemplo, Correos de Chile o Latam, firma de transporte aéreo que posee un sistema propio de almacenamiento de información de clientes y no a través de Webpay, cuando la compra se realiza con tarjeta de crédito.
Actualización del sistema
Luego de conocer esta información respecto a la filtración, la pregunta que surge es cómo subir los estándares de seguridad. Para Figueroa, la solución para evitar nuevas vulneraciones debe venir del trabajo conjunto entre los diferentes estamentos que participan en la cadena de pagos y los organismos gubernamentales relacionados.
“La banca en sí tiene que subir el estándar, el regulador bancario tiene que evolucionar en su regulación y aumentar su expertise en esta materia, de lo contrario va a ser difícil regular si es que no existen los conocimientos asociados a estas materias. Se deben hacer cambios en la regulación y en la manera de actuar. Necesitamos impulsar las medidas críticas que sirvan para transmitir tranquilidad a los clientes”, asegura.
El senador Felipe Harboe adelantó, en la misma línea, que es poco probable que esta nueva vulnerabilidad dada a conocer corresponda a un ataque a los bancos, sino que sería un ataque para obtener las bases de datos de tarjetas de crédito de diferentes bancos a través de un ataque a un comercio o alguna empresa que maneja bases de datos.
“Aquí lo que se requiere decididamente es que el Presidente Sebastián Piñera nombre un delegado presidencial que se dedique 24 horas al día a hacer un diagnostico de la infraestructura en ciberseguridad. Porque hoy dia es la banca, mañana puede ser el retail, la empresa minera, las empresas de telecomunicaciones o de servicios básicos, o un servicio público, como el Registro Civil. Y que luego proponga en el más breve plazo una institucionalidad y propuestas de inversión y mejores niveles de ciberseguridad”, dijo el parlamentario PPD.
Según agrega Figueroa, las listas con información bancaria, como la conocida esta semana en Chile, son comunes en la “deep web”, en donde se comercializan de manera ilegal. “Esto no es nuevo ni es reciente, y es probable que sigan apareciendo archivos con información de tarjetas nuestras”, menciona.
El experto en ciberseguridad menciona además que existen servicios de inteligencia que rastrean este mercado negro y que alertan a los bancos en caso de detectar información de nombre y número de las tarjetas para que proactivamente se haga el bloqueo. Estas bases de datos se construyen a partir de datos obtenidos a través de la clonación de tarjetas o ingresando a los computadores en donde se almacenan estos datos.
