ChannelBiz

A pesar de que los expertos advierten de la importancia de mantener los datos de los clientes de empresas minoristas a buen recaudo para no perder la confianza del consumidor, los datos y la realidad muestran que aún los TPV o Terminales en el Punto de Venta no se mantienen tan seguros como sería necesario.

Como es asunto esencial para el buen hacer de cualquier vendedor al por menor, ChannelBiz ha hablado con responsables de empresas como Ilastec, creadora de software para TPV, las firmas de seguridad Panda Security, Kaspersky Lab y Fortinet para conocer más detalles sobre cómo proteger los datos de los clientes.

Ya sabemos que para mejorar las ventas, contar con datos de los clientes es cada vez más importante. Los consumidores demandan personalización cuando acuden a un vendedor, quieren comprar rápido y aprecian, tanto en las web  como en las tiendas físicas, que se les ofrezca sugerencias de productos o servicios disponibles que puedan ser de su interés. Pero esos datos, que pueden ser muchos, han de mantenerse a buen recaudo. No olvidemos los sonados casos protagonizados por grandes retailers estadounidenses como Target o Staples, con unas malas consecuencias para la confianza de sus clientes. Si empresas con tantos recursos como estas mencionadas han sido atacadas, cualquiera está expuesto.

¿Por qué atraen tanto los TPV a los hackers?

Manuel Bécares desarrollador y fundador de Ilastec explica que normalmente, “los hackers intentan hacerse con datos de cuentas de correo, DNI, contraseñas, cuentas bancarias, tarjetas de crédito, etc”. En definitiva, añade el directivo, “datos que les puedan permitir suplantar la identidad de terceros con fines lucrativos”. A esto, Daniel Molina, director general de la unidad de mercados estratégicos de América Latina para Kaspersky Lab, reitera que el objetivo final no es más que “monetizar el crimen”.

Además de eso, José Luis Laguna, director técnico Fortinet Iberia, añade que, además de conocer los datos que el cliente tiene dentro de los terminales de un minorista, se puede ir más allá. Dice Laguna que “según estudios realizados, los usuarios reutilizan sus credenciales de acceso a muchos sistemas, teniendo la base de datos de identificadores de usuarios y contraseñas de un servicio que quizás se considera de poco interés, un atacante podría intentar reutilizar esas mismas credenciales para acceder a otros sistemas con datos más sensibles, aprovechando la reutilización de las contraseñas del usuario atacado”.

Desde Panda Security, su director técnico Luis Corrons explica que las informaciones sobre tarjetas de crédito obtenidas tras un ataque a los sistemas de una empresa minorista pueden venderse en el mercado negro, que aporta “un beneficio económico muy alto” o usarlas ellos mismos para realizar compras. El problema, de acuerdo con el directivo es que “el riesgo de ser descubiertos muy bajo“.

Además de lo apetecible que puedan ser las transacciones bancarias, hay muchas informaciones que un minorista tiene derecho a recabar de un comprador, como sus datos personales, en caso de la existencia de tarjetas de socios, su información de contacto o la frecuencia con la que acude a una tienda o qué utensilios o servicios suele comprar.

La ley también exige la protección de los TPV

Por si aún no está claro, o si no estás convencido de invertir en sistemas más seguros, hace falta decir, como recuerda Manuel Bécares, en representación a Ilastec que “la ley así lo exige, y los datos de clientes nunca pueden llegar a terceros sin su consentimiento”. Además de esto, añade Manuel, cualquier empresa que quiera evitar que su competencia pueda descubrir de alguna forma los márgenes de beneficio que tiene o cualquier otra cosa importante para su negocio, debe tener estos datos guardados a buen recaudo.

Otra razón llega de la mano de Luis Corrons, desde Panda Security que añade que “los TPV están sujetos a estrictas regulaciones que no permiten que se almacenen, ni siquiera temporalmente, los datos de tarjetas de crédito utilizadas. El malware que los ciberdelincuentes utilizan en estos sistemas está especialmente diseñado para obtener en tiempo real la información de la tarjeta de crédito cuando se realiza un pago, accediendo directamente a la ubicación de la memoria RAM del dispositivo donde se encuentra la información cuando se está realizando la transacción”.

Finalmente, desde Fortinet, añade José Luis Laguna que “la normativa existente obliga a proteger determinada información (como la información fiscal, o la de carácter personal), pero también hay otros motivos para que la empresa ponga empeño en proteger el resto de la información, como puede ser evitar una posible pérdida de datos o que éstos puedan caer en manos de la competencia”.

Y, ¿cómo proteger los TPV?

Desde Panda Security, Luis Corrons recuerda que en el asunto de los pagos, como la información no se puede almacenar, “lo necesario es proteger el TPV con soluciones que únicamente permitan la ejecución de procesos confiables, y que además haga una monitorización continua de lo que está en ejecución en el terminal”. Considera el directivo que casi todos los casos podrían encontrar solución con este tipo de estrategia.

Desde Kaspersky, se apuesta por el cifrado para la protección de los datos en reposo, al igual que “lo hacen las tecnologías de protección de datos en la nube”. Recuerda Daniel Molina que “en algunos casos, los sistemas TPV tercerizan empresas cuyo fin es manejar la transacción de manera integral. Si los datos nunca estuvieron en su sistema, la protección de los mismos se pone en manos de la entidad responsable, en este caso el proveedor”. 

Manuel Bécares, desde Ilastec, empresa proveedora que se encarga de la tarea de protección de los datos, recuerda que “almacenar la información en el equipo físico del minorista es la solución menos segura. Hay que pensar que ya no solo un hacker, sino cualquier persona que entre a robar a la tienda puede marchar con el equipo y todos los datos y licencias que haya en el mismo”. Otra opción, recuerda el emprendedor, sería almacenar los datos en dispositivos físicos extraíbles, que aunque pudiera resultar algo más seguro, “no es operativo en el día a día de una empresa, especialmente si se accede al software desde varios equipos diferentes”.

Pero desde Ilastec recomiendan que se permita al proveedor del software de los terminales del punto de venta que lo cuide. Normalmente, estos proveedores han de contar con buenos métodos de seguridad. Recuerda Manuel que empresas como Ilastec cuentan con “una infraestructura con seguridad tanto a nivel hardware como software, donde se hacen copias de seguridad de los datos a diario y donde los datos están replicados en diferentes centros de datos separados más de 100 kilómetros, por seguridad en caso de desastres naturales”, además de que toda la comunicación con el servidor va encriptada.

Desde Fortinet, José Luis Laguna considera que todo dependerá del presupuesto de cada minorista pero sí que considera el almacenamiento cloud como el conveniente para proteger las informaciones. Y recuerda Laguna que “en general los servicios en la nube han tenido muy buena acogida entre empresas de cualquier tamaño porque conllevan unos costes muy competitivos comparados con los que implica establecer una infraestructura en la propia compañía”. Y recuerda el directivo ese tópico que en casos persiste, “la creencia de que los servicios están menos protegidos en la nube”. En cuanto al papel de los fabricantes de soluciones de ciberseguridad de proporcionar medidas de protección para entornos en la nube, pueden ir en muchos casos igualmente destinados a proteger los que se guardan en casa o los que se almacenan en el cloud, “con las mismas capacidades de protección”.

¿Cómo puede afectar una brecha de seguridad a un minorista?

Daniel Molina desde Kaspersky Labs advierte que “definitivamente lo peor que puede pasarle a un minorista es perder la confianza de sus clientes”. Y que, por tanto, si no se “protegen los datos de sus clientes, y causan una fuga de información con tarjetas de crédito u otros datos sensibles, perderán de manera irreparable la confianza de sus clientes rápidamente”.

Desde Panda Security, recuerda Luis Corrons que además de la mala imagen y posible pérdida de muchos clientes, un minorista podría enfrentarse a demandas legales por parte de los usuarios, lo que supondría aún más coste económico que la pura brecha de seguridad. El portavoz de Fortinet, José Luis Laguna añade además que las sanciones también pueden llegar desde la administración pública por este tipo de temas.

Si el problema llega por un robo de un terminal del punto de venta donde se almacena la información de los clientes, en vez de tenerlo en la nube, recuerda Manuel Bécares desde Ilastec que el minorista “quedará un tiempo sin poder utilizar el programa de gestión y TPV que utiliza habitualmente y perderá todos los datos que tenía”.