El malware POS (o software malicioso en el sistema de punto de venta) es un tipo de software dirigido específicamente contra estos sistemas, encargados de procesar las transacciones de los clientes. Existen delincuentes que se valen de esta clase de software para sustraer datos de tarjetas de crédito y otros tipos de información confidencial muy sensible. Lo más habitual es que este tipo de software, también conocido como malware, capture y transmita esos datos a individuos sin autorización. De ese modo, se expone a empresas y clientes a potenciales peligros financieros y filtraciones de información. Los métodos y el nivel de sofisticación del software malicioso varían, pero su objetivo fundamental consiste en robar datos valiosos de las transacciones. El malware POS, junto con otras clases de fraude, causa efectos devastadores para los negocios: el informe sobre ciberdelincuencia Official Cybercrime Report publicado en 2022 prevé que el coste total de la ciberdelincuencia alcance los 10,5 billones de dólares anuales en 2025.
A continuación vamos a repasar todo lo que debes saber para proteger tu negocio frente al riesgo del software malicioso en los sistemas POS. Veremos cómo funciona ese tipo de malware, cuáles son los posibles puntos débiles de tus sistemas y qué medidas adoptar para defender tus intereses y a tus clientes.
¿De qué trata este artículo?
- Tipos de ataques de malware en sistemas POS
- ¿Cómo funciona el malware en los sistemas POS?
- Factores de riesgo del malware en sistemas POS para empresas
- ¿Cómo afecta el malware en sistemas POS a empresas y clientes?
- ¿Cómo puedes proteger tu negocio contra el malware en los sistemas POS?
Tipos de ataques de malware en sistemas POS
Los ataques de software malicioso sobre sistemas POS se producen de formas muy diversas. Cada variante presenta sus propias características y tiene sus objetivos específicos. Entender y conocer los rasgos de estos tipos de ataques te ayudará a reconocer y responder ante amenazas potenciales. Estas son las modalidades de ataques de malware POS más comunes:
Raspadores de memoria o memory scrapers: este tipo de software malicioso escanea la memoria del sistema POS y obtiene así datos sensibles, como los de las tarjetas de crédito. Los raspadores de memoria suelen atacar en el momento en que los datos no están cifrados, capturándolos antes de que se protejan.
Keyloggers: su objetivo es registrar las pulsaciones de las teclas que se efectúan en un sistema POS. Se trata de una estratagema particularmente peligrosa porque no solo puede capturar los datos de la tarjeta, sino también las contraseñas y otros datos confidenciales que se introduzcan a través del teclado.
Rastreadores de red o network sniffers: estos programas de malware monitorizan y capturan los datos que se transmiten a través de la red a la cual está conectado el sistema POS. Este tipo de software malicioso está especializado en interceptar datos durante la transmisión, por lo cual supone una amenaza para sistemas que trabajan con transacciones en red.
Raspadores de RAM (memoria de acceso aleatorio): se trata de otro tipo de scrapers, que centran su atención en la memoria RAM para extraer datos almacenados en esa memoria del sistema. Logran su objetivo porque los sistemas POS suelen almacenar los datos sin cifrar en la memoria RAM mientras se procesa la transacción.
Inyectores de archivos: otra modalidad de malware, cuyo método de actuación consiste en inyectar código malintencionado en archivos legítimos presentes en el sistema POS. A continuación, los archivos alterados sirven de conducto para sustraer datos o realizar otras actividades maliciosas.
Software malicioso backdoor: esta variante de malware crea un punto de entrada oculto que permite a los atacantes acceder al sistema de forma prolongada y sin ser detectados. Se emplea para realizar robos de datos a largo plazo y vigilar sistemas.
Cada tipo de malware POS actúa con un método y un objetivo concretos, adaptados a la medida de distintos escenarios de ataque. Los raspadores de memoria y raspadores de RAM explotan esos instantes en que los datos confidenciales permanecen descifrados. Los keyloggers y rastreadores de red captan las entradas y transmisiones de datos. Los inyectores de archivos y el software malicioso tipo backdoor se especializan en conseguir un acceso y control sobre los sistemas de forma sostenida. Conocer y saber distinguir estas características es muy útil para adaptar las estrategias de seguridad destinadas a combatir cada tipo de amenaza eficazmente.
¿Cómo funciona el malware en los sistemas POS?
El software malicioso que actúa contra los sistemas POS está concebido para evitar que sea detectado y cumplir su objetivo: robar datos. Las tácticas del malware van evolucionando sin parar, pero en líneas generales, los ataques funcionan según estas variantes:
Infiltración
En primer lugar, el malware penetra en el sistema POS. Puede suceder mediante correos electrónicos de phishing dirigidos a empleados, explotando credenciales que se hayan filtrado o aprovechando puntos débiles que existan en el software del sistema POS. En cuanto consigue acceder al sistema, el programa de malware se asienta en el mismo.
Residencia
Después de la infiltración, el software malicioso suele permanecer inactivo para pasar inadvertido. Durante esta fase, se incrusta en procesos clave o se disfraza para aparentar que es un software perfectamente legítimo. Con esta estrategia, el malware puede desarrollar su actividad dentro del entorno del sistema POS sin que sea detectado.
Operación
El malware se activa cuando se producen transacciones. Escanea la memoria para captar datos descifrados, registros, pulsaciones de teclas o el tráfico que corre por las redes. Los ejemplos de malware más sofisticados incluso son capaces de alterar procesos de transacciones o falsear señales de aprobación, para habilitar transacciones sin autorización.
Recolección y transmisión de datos
Tras capturar los datos, el malware los empaqueta y los transmite a un servidor remoto que está bajo el control de los delincuentes. Normalmente, esta transferencia se produce de un modo que no levante sospechas.
Persistencia y proliferación
Muchos programas de malware diseñados para atacar sistemas POS se han diseñado para que mantengan su presencia en el sistema infectado durante períodos de tiempo dilatados e incluso para expandirse hasta penetrar en sistemas conectados, para así ampliar el alcance del ataque.
Aquí tenemos un par de ejemplos reales que demuestran el peligro y la eficacia del software malintencionado centrado en los sistemas POS:
Target
En 2013, un programa de malware se infiltró en el sistema POS de Target y provocó el robo de más de 40 millones de números de tarjetas de crédito y débito. El software malintencionado formaba parte de un ciberataque más amplio y su misión era capturar los datos directamente de la memoria de los dispositivos POS cuando se pasaban las tarjetas por la ranura para efectuar transacciones.
Wendy's
En 2016, un programa de malware instalado en los sistemas POS de la cadena de establecimientos de comida rápida Wendy's desencadenó una sustracción a gran escala de datos de pago de sus clientes. El incidente puso de relieve la capacidad del software malintencionado para permanecer oculto durante largos períodos, con lo que pone en riesgo la seguridad de los datos.
Estos casos subrayan qué importante es proteger los sistemas POS con medidas de seguridad completas y proactivas. Actualizar el software periódicamente, impartir formación sobre ciberamenazas al personal, implantar sistemas de seguridad sólidos para las redes y mantener una vigilancia continua son factores fundamentales para defenderse de ataques de malware muy sofisticados. Para desarrollar defensas efectivas y neutralizar los riesgos potenciales, las empresas deben conocer cómo funcionan el software malintencionado dirigido contra los sistemas POS.
Factores de riesgo del malware POS para empresas
Los factores de riesgo de esta clase de malware giran en torno a diversos aspectos de la seguridad, el funcionamiento y el mantenimiento de los sistemas POS. Algunos son más vulnerables debido a ciertas características o prácticas, como estas:
Software anticuado: los sistemas que funcionen con software desactualizado son blancos propicios para los delincuentes. Las actualizaciones de software suelen incluir parches de seguridad que remedian las vulnerabilidades que se van detectando, con lo cual resulta más difícil que el malware pueda explotar esas debilidades potenciales.
Contraseñas y credenciales débiles: las contraseñas sencillas o las predeterminadas constituyen unas barreras muy fáciles de superar para los atacantes. Para conservar un nivel de seguridad elevado, es crucial elegir contraseñas complejas y cambiarlas periódicamente.
Falta de formación de la plantilla: cualquier empleado que no conozca las tácticas de phishing o las prácticas de seguridad más apropiadas podría permitir accidentalmente que el malware se infiltre en los sistemas.
Seguridad inadecuada en las redes: los sistemas POS que estén conectados a redes inseguras constituyen otro riesgo. Cuando se atacan sistemas que carecen de medidas de seguridad apropiadas que protejan sus redes (como cortafuegos o funciones de detección de intrusiones), el software malintencionado se puede infiltrar más fácilmente y extraer datos.
Estrategias de seguridad con una sola capa: basar la seguridad del sistema en una sola capa de defensa, como un software antivirus, es completamente insuficiente. Son mucho más eficaces las estrategias de seguridad multicapa, que incorporan varios niveles de protección.
Acceso físico a los sistemas: los sistemas que permiten un acceso físico sin dificultades pueden suponer un peligro por el riesgo que representan métodos como las memorias USB que contengan malware.
Falta de supervisión continua: aquellos sistemas que no se monitorizan regularmente para detectar actividades anómalas podrían pasar por alto las señales más tempranas de una vulneración. Y así abrirían la puerta al malware para funcionar sin llamar la atención durante mucho tiempo.
Integración con servicios de terceros poco seguros: los sistemas POS integrados con servicios de terceros que carecen de medidas de seguridad completas pueden provocar que aparezcan puntos débiles.
Ciertos sistemas padecen un nivel de riesgo más acusado debido a los casos de uso prácticos o los entornos a los que están expuestos. Veamos los más destacados:
Entornos con altos niveles de transacciones: los sistemas que operan en escenarios que registran grandes cantidades de transacciones, como puede ser una marca puntera en el comercio minorista, constituyen objetivos muy atractivos para los ciberdelincuentes, porque procesan volúmenes de datos ingentes.
Pequeñas empresas: en las empresas más modestas es bastante frecuente que la inversión en ciberseguridad sea más limitada. Como consecuencia, sus sistemas POS son más susceptibles a sufrir ataques.
Sistemas anticuados: aquellos sistemas heredados que ya no se actualizan con regularidad o que están desatendidos podrían ofrecer fisuras que los sistemas más actuales ya hayan solventado.
¿Cómo afecta el malware POS a empresas y clientes?
Esta clase de malware puede causar repercusiones graves tanto para los negocios como para sus clientes. Los ataques de software malicioso contra sistemas POS pueden interrumpir o alterar el trabajo de las empresas, dañar su reputación y provocarles cargas financieras y jurídicas muy onerosas. Para la clientela, esos mismos ataques generan riesgos financieros, son una fuente de preocupación para la privacidad de sus datos y deterioran la confianza en aquellas empresas que los padecen.
Estos son los principales efectos para las empresas:
Pérdidas financieras
Este apartado incluye la pérdida de ingresos por ventas, los costes derivados de investigar y resolver la infracción y las posibles sanciones impuestas por incumplir las normativas sobre protección de datos.Daño reputacional
Un ataque de software malicioso puede arruinar la reputación del negocio. Como resultado, los clientes dejan de confiar en la capacidad de esa empresa para proteger sus datos personales, lo que causa estragos en su fidelidad y hace caer las ventas.Interrupciones de las operaciones
Muy a menudo, tras sufrir un ataque de malware hay que desconectar los sistemas POS, con lo cual se interrumpe el trabajo y se pierden oportunidades de venta.Consecuencias legales y reglamentarias
Cualquier empresa puede enfrentarse a reclamaciones judiciales presentadas por sus clientes o a sanciones impuestas por los organismos reguladores si no protege correctamente los datos de los primeros.
Además, corregir y mejorar la seguridad tras un ataque implica costes más altos. Luego de una infracción, es habitual que las empresas deban invertir en sistemas de seguridad más avanzados, formación del personal y medidas de cumplimiento de la normativa. Todo eso genera gastos de explotación más elevados.
Estos son los principales efectos para los clientes:
Riesgo financiero: cuando a un cliente se le sustraen los datos de su tarjeta, se expone al riesgo de que se le apliquen cargos fraudulentos. Aunque muchos bancos ofrecen protección antifraude, rectificar y anular transacciones efectuadas sin autorización requiere tiempo y suele acarrear dolores de cabeza.
Robo de identidades: además de para cometer delitos de fraude financiero inmediatos, los datos robados pueden servir para tender trampas para robar identidades, lo que desencadenaría problemas financieros y jurídicos muy duraderos para la clientela.
Pérdida de confianza: existe el peligro de que los clientes empiecen a desconfiar de las empresas que no protejan sus datos confidenciales correctamente y, por tanto, sean reticentes a pagar con sus tarjetas de crédito o débito. Como resultado, se alteraría la conducta de la clientela.
Inquietud en torno a la privacidad de los datos: saber que sus datos personales están en riesgo y podrían caer en malas manos es motivo de preocupación para cualquier cliente.
¿Cómo puedes proteger tu negocio contra el malware POS?
Para aquellos negocios que quieran protegerse y defender los intereses de sus clientes y consumidores, la clave es adoptar medidas de ciberseguridad proactivas, disponer de planes de respuesta inmediata y mantener una vigilancia constante y periódica. Blindar la empresa frente al software malicioso que actúa contra los sistemas POS obliga a implementar las mejores prácticas para salvaguardarlos y activar funciones de detección temprana de amenazas. Veamos cuáles son las más destacadas:
Actualizaciones periódicas del software: es imprescindible mantener actualizado el software de los sistemas POS. Normalmente, las actualizaciones regulares incorporan parches que reparan los puntos débiles e impiden que el malware los aproveche.
Políticas de contraseñas fuertes: conviene implantar políticas que obliguen a crear contraseñas complejas y a modificarlas periódicamente. Es totalmente desaconsejable utilizar las contraseñas predefinidas que proponga el propio sistema.
Formación del personal: es recomendable facilitar formación a los empleados acerca de ciberseguridad. Deben ser conscientes de las argucias del phishing y de que es crucial mantener en secreto las contraseñas o evitar cualquier clic sobre enlaces sospechosos.
Seguridad de redes: protege la red de tu empresa. Emplea cortafuegos, también llamados firewalls, y asegúrate de que la red Wi-Fi opere con cifrado y sea segura. Separa la red que sirve a los sistemas POS de la red que utilizan los clientes o que presta servicio a otras actividades del negocio.
Uso de antivirus y herramientas anti-malware: elige y utiliza un antivirus con buena fama, así como soluciones que ayuden a combatir el software malicioso. Estos servicios constituirán una línea de defensa básica contra el malware.
Cifrado de datos: es imprescindible cifrar los datos confidenciales. Asegúrate de que los datos de tus clientes se cifren, especialmente durante su transmisión.
Control de accesos: limita el acceso a tu sistema POS. Tan solo debería permitirse el acceso a personal autorizado y únicamente cuando sea necesario para que realicen su misión profesional.
Vigilancia continua: debes monitorizar los sistemas de forma constante. Presta atención para detectar actividades anómalas, como transferencias de datos inesperadas o alteraciones en el rendimiento del sistema.
Plan de respuesta ante incidentes: es necesario contar con un plan de respuesta ante incidentes. Saber qué hay que hacer cuando se abre una brecha en la seguridad es fundamental para actuar sin demora y limitar al mínimo los daños.
Auditorías periódicas y cumplimiento de la normativa: hay que realizar auditorías de seguridad con regularidad y garantizar que se respeta el cumplimiento de las normativas estándar del sector, como las PCI DSS (estándares de seguridad de datos de la industria de las tarjetas de pago).
Seguridad física: verifica la seguridad física de los sistemas POS. Hay que impedir que personas sin autorización accedan físicamente a los sistemas y terminales.
Gestión de terceros proveedores: si tu empresa recurre a terceros proveedores que os suministran servicios de POS, debes comprobar que respetan estándares de seguridad exigentes. Evalúa periódicamente qué medidas de seguridad aplican.
Uso de soluciones de seguridad avanzadas: plantéate la posibilidad de incorporar soluciones de seguridad avanzadas, como sistemas de detección de intrusiones y protección de puntos de conexión avanzada. Servirán para disponer de una capa más de protección y se encargarán de detectar y dificultar ataques muy sofisticados.
Procedimientos de copia de seguridad y recuperación: es imprescindible realizar copias de seguridad periódicas y contar con un procedimiento completo para la recuperación de los sistemas. De este modo, cuando se produzca un ataque, la alteración para los servicios será mínima y se restablecerán rápidamente.
Si te atienes a estas prácticas, conseguirás reducir drásticamente el riesgo de sufrir ataques de malware POS. Y además, asegurarás la protección de los datos de tu empresa y sus clientes. Aquí encontrarás más información de cómo contribuye Stripe a defender a las empresas frente a la amenaza del malware para los sistemas POS.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Debes procurar el asesoramiento de un abogado o un contador competente con licencia para ejercer en tu jurisdicción si deseas obtener asistencia para tu situación particular.