Robo de identidad de minoristas atacados en niveles múltiples

Un anillo de ladrones de identidad que atacó a minoristas de EE. UU. Usó ataques sofisticados y multifacéticos para robar más de 40 millones de números de tarjetas de crédito y débito de TJX, OfficeMax, Barnes & Noble y otras compañías, según documentos judiciales.

Los ataques cuestan los minoristas y las compañías de tarjetas de crédito decenas de millones de dólares.

Los miembros de la conspiración de robo de identidad utilizaron las llamadas técnicas de wardriving para encontrar agujeros en las redes inalámbricas operadas por tiendas minoristas. Una vez dentro de las redes, los ladrones localizaron y robaron información de transacciones de tarjetas de crédito almacenadas en las redes de los minoristas, de acuerdo con documentos judiciales.

[Lectura adicional: cómo eliminar malware de su PC con Windows]

Los ladrones también instalaron -llamado software sniffer para capturar contraseña y datos de cuenta en las redes de las tiendas, y usaron ataques basados ​​en Internet, incluidos ataques de inyección SQL, para obtener acceso a bases de datos de tarjetas de crédito.

El grupo de robo de identidad almacenó los números de tarjetas de crédito capturados en servidores comprometidos en los EE. UU., Letonia y Ucrania, según documentos judiciales. Los ladrones encriptaron los números de tarjetas de crédito en esos servidores, según el documento de acusación de Albert Gonzalez, el presunto cabecilla del plan de robo de identidad.

Gonzalez, de Miami, fue acusado el martes en el Tribunal de Distrito de los EE. UU. Del Distrito de Massachusetts por cargos de fraude informático, fraude electrónico, fraude de dispositivos de acceso, robo de identidad agravado y conspiración. Otros diez acusados ​​han sido acusados ​​o acusados ​​de crímenes en lo que se cree que es la mayor investigación de robo de identidad y piratería informática en la historia del Departamento de Justicia de los EE. UU., Anunció el martes el Departamento de Justicia. El documento de acusación formal para González, que estaba trabajando como informante del Servicio Secreto de los EE. UU. mientras presuntamente participaba en el plan, arroja algo de luz sobre la operación de robo de identidad. Los ladrones fueron capaces de codificar la información de la tarjeta de crédito en tarjetas en blanco que se utilizaron para obtener decenas de miles de dólares de cajeros automáticos en visitas únicas, dice el documento judicial.

Entre los ataques detallados en el documento judicial:

- - Aproximadamente en 2003, González y otros encontraron un punto de acceso inalámbrico sin cifrar en una tienda BJ's Wholesale Club. BJ informó una violación de sus redes informáticas a principios de 2004.

- En 2004, otros miembros de la red de robo de identidad pusieron en peligro un punto de acceso inalámbrico OfficeMax en Miami, y pudieron robar datos de tarjetas de crédito. Después de que las autoridades en 2006 identificaran a OfficeMax como víctima de una violación de datos, la compañía dijo que contrató a un auditor externo para realizar una investigación y no encontró evidencia de una violación de seguridad. Un portavoz de OfficeMax no devolvió inmediatamente un mensaje en busca de comentarios.

- En julio, septiembre y noviembre de 2005, el supuesto miembro de robo de identidad Christopher Scott puso en peligro dos puntos de acceso inalámbrico operados por TJX en las historias del departamento de Marshalls en Miami. Scott utilizó su acceso para transmitir repetidamente comandos de computadora a los servidores de TJX que almacenan información de tarjetas de crédito en Framingham, Massachusetts. TJX, que también es propietaria de TJ Maxx, HomeGoods y otros puntos de venta minorista, informaron incumplimientos de datos en enero de 2007.

Los expertos en seguridad cibernética dijeron que las empresas preocupadas por ser víctimas pueden aprender de los ataques. Las empresas que almacenan información personal deben adoptar un enfoque integral para la seguridad de los datos, incluyendo encriptación de bases de datos de tarjetas de crédito, notificaciones de comportamientos sospechosos dentro de sus redes y limitaciones sobre quién puede acceder a los datos, dijeron expertos en seguridad. Las compañías también deberían instalar parches de software. rápidamente y asegúrese de que sepan que los datos confidenciales se encuentran en sus redes, agregó Ted Julian, vicepresidente de estrategia y marketing para el proveedor de seguridad informática Application Security. Muchas compañías no saben dónde están almacenados todos sus datos confidenciales, debido a la rotación de trabajadores de TI y otros factores, dijo.

Las empresas también necesitan analizar sus riesgos y adoptar un enfoque específico para solucionar los problemas, dijo Sam Curry, vicepresidente de gestión de productos en el proveedor de ciberseguridad RSA.

Los ataques han cambiado en los últimos años, con campañas más organizadas y dirigidas, dijo Julian. "Los hackers están mucho más concentrados, y probarán 38 puertas, probarán 100 puertas", dijo. "Tan pronto como encuentren el que está desbloqueado, se dirigen a la base de datos. No sé si mucha gente [de TI] recibirá $ 10 millones en su presupuesto para implementar un conjunto de nuevas medidas de seguridad.. "

Las empresas también deberían examinar si los datos que almacenan son necesarios y cuánto tiempo conservan los datos, dijo Graham Cluley, consultor senior de tecnología de Sophos, otro proveedor de seguridad cibernética.

Las compañías se han centrado demasiado en las defensas perimetrales y no sobre la protección de datos dentro de sus redes, dijo Curry. Los minoristas y otras compañías necesitan "despertar y tomar estas amenazas en serio", dijo Curry. "Hacer que el costo para los malos sea demasiado alto para que lo hagan".

Las acusaciones anunciadas el martes podrían generar conciencia sobre la ciberseguridad, agregó Curry. Y algunas condenas de alto perfil podrían servir como elemento de disuasión para los delincuentes.

Pero Curry y Cluley se negaron a señalar a los minoristas cuyos sistemas estaban en peligro. Mientras que los clientes de las compañías necesitan presionarlos para mejorar las prácticas de seguridad, las compañías también son víctimas, dijo Cluley.

"Sería un error golpear demasiado a las compañías", dijo Cluley. "Las empresas competidoras no deberían sentirse demasiado presumidas, porque ¿cuántas de ellas pueden poner sus manos en sus corazones y decir, 'esto nunca podría ocurrir dentro de nuestra organización?'".

La Comisión Federal de Comercio de EE. UU., Sin embargo, presentó quejas contra TJX, BJ's Wholesale y DSW, una cadena minorista de calzado dirigida por la red de robo de identidad que informó una violación de datos en marzo de 2005. DSW informó que más de 1.4 millones de tarjetas de crédito se vieron comprometidas y las pérdidas variaron de US $ 6.5 millones a $ 9.5 millones.

A mediados de 2005, BJ reportó reclamaciones pendientes de $ 13 millones relacionadas con la violación de datos. Según la FTC, se tomaron aproximadamente 455,000 números de tarjetas de crédito en las infracciones de TJX.

La FTC alegó que los tres minoristas no tomaron medidas de seguridad adecuadas para protegerse contra los ataques.

La FTC anunció un acuerdo con BJ en Junio ​​de 2005 requiere que la compañía implemente un programa integral de seguridad de la información y obtenga auditorías por parte de un profesional independiente de seguridad cada dos años durante 20 años. La agencia anunció acuerdos similares con DSW en diciembre de 2005 y TJX en marzo de este año.

La FTC no ha presentado quejas contra otras seis empresas identificadas como víctimas de violación de datos por parte del DOJ. Esas compañías son Dave y Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority y Forever 21. Un funcionario de la FTC dijo que no podía comentar sobre posibles quejas contra esas compañías porque la FTC no hace comentarios sobre las investigaciones en curso.