ChannelBiz

Que los Terminales Punto de Venta  (TPV) se han convertido en objeto de deseo para los hackers no es nuevo, ni tampoco que hay visrus diseñados para ellos o que ya ha habido grandes brechas de seguridad asociados a estos terminales que tienen la gran mayoría de las tiendas de todo el mundo. No debería extrañarnos entonces que los TPV móviles, conocidos como datáfonos, también tengan sus problemillas, sus riesgos, pero lo que han hecho un grupo de investigadores es demostrarlo, para que no quepa ninguna duda.

Ha sido durante el Black Hat 2014 que se ha celebrado en Las Vegas, en una sesión titulada “Mission mPOSsible”, donde Jon Butler, responsable de MWR Infosecurity, y un investigador llamado Nils, contaban a la audiencia que tras estudiar seis de los TPV móviles más populares que aceptan tarjetas chip-and-pin (el sistema utilizado en Europa), detectaron que cuatro de ellas tenían vulnerabilidades. Y si esto sorprende, más aún saber que hay un parche disponible desde el pasado mes de abril que todavía no se ha aplicado en la mayoría de los casos, lo que significa que hay muchísimos dispositivos vulnerables a un ataque que se ha demostrado que funciona.

Los investigadores detectaron vulnerabilidades en el proceso de actualización del firmware del dispositivo y que los TPV móviles pueden ser comprometidos a través de un smartphones infectado con un virus.

Un ataque en serie podría hacer que los ciberdelincuentes consiguieran detalles de las tarjetas y los PINs de cada tarjeta de pago que haya procesado del TPV móvil.

Durante la exposición del caso, Butler advirtió que las pymes son especialmente vulnerables a los fallos de los datáfonos porque son muy utilizadas por tiendas que buscan dispositivo de pago de bajo coste que además exija cuota por transacciones bajas.