Varias veces se ha hablado aquí de seguridad en el hardware, y de cómo la fabricación globalizada de hardware se está convirtiendo en una nueva fuente de problemas de seguridad.

Hace meses vimos la noticia de un caballo de troya en los equipos de los militares de EE.UU. Esta vez el objetivo era la población civil. Y demuestra la cada vez más compleja sofisticación del fraude electrónico más alla de Internet.

Se trata de uno de los ataques tecnológicos más avanzados que se han visto, y ha ocurrido en Europa, a través de una serie de bien orquestadas operaciones realizadas en los datáfonos que la mayoría de comercios disponen para el pago con tarjeta de crédito. Estos dispositivos contenían 'hardware añadido' en fábricas de China que se encargaban de copiar la información de los clientes antes de que ésta fuera cifrada, para almacenarla, cifrarla con sus propios medios, y enviarla entonces a través de una conexión 3G a un servidor de Lahore, Pakistán, donde era descifrada y utilizada para clonar tarjetas de crédito.

Lo verdaderamente relevante de este fraude era la capacidad de decisión de robo provista en estos datáfonos, adaptándose al establecimiento donde operaban para complicar así su presencia. Si se trataba de un pequeño comercio, robaban poco dinero a la semana y realizaban un envío semanal al servidor remoto, si por el contrario estaban situados en grandes superficies, las cantidades robadas aumentaban así como la frecuencia de envíos al servidor remoto.
Esta capacidad de decisión, era descargada cada vez que subían los datos robados al servidor de Pakistan. Hemos robado X datos de clientes en este periodo de tiempo, ¿cuánto robamos la próxima vez?

La cantidad de dinero que se ha conseguido estafar a través de este fraude es presumiblemente de entre 50 y 100 millones de dolares.

No ha tardado ni 1 mes en cumplirse dos de las predicciones que David mostraba en el post Tendencias en el fraude online:

  • Código malicioso cada vez más complejo.
  • Amenaza de países emergentes (China).


Los requisitos que marca PCI para el manejo de tarjetas de crédito, no hubieran servido de nada en este caso. El aviso de un guardia de un establecimiento víctima alertado por algunas interferencias que nunca se materializaban en mensajes o llamadas y una auditoría de caja blanca tras sospechas de Mastercard desvelaron el fraude.


Emilio Casbas
S21sec labs