Con el auge de la pandemia, el efectivo como medio de pago ha disminuido considerablemente su uso, por las razones que ya sabemos. Y en su reemplazo, el uso de tarjetas o medios de pago digitales como el teléfono se han masificado y han llegado para quedarse definitivamente.
Y a raíz de lo anterior, es que muchas veces nos hemos visto enfrentados al terminal punto de venta (TVP) o también llamado POS, a la hora de hacer un pago. Ahora bien, si un usuario que desea comprar y sostiene su tarjeta o dispositivo móvil sobre el TPV, pero el pago mediante contactless (sin contacto) no funciona. ¿La razón? Puede que el dispositivo esté dañado o que el chip del lector NFC tenga fallas, pero podría ser algo más: el TPV podría estar infectado con Prilex, un malware que, en busca de tarjetas bancarias, es capaz de bloquear transacciones sin contacto.
¿Qué es Prilex y por qué bloquea las transacciones NFC?
Prilex es el nombre del malware y, a la vez, es el nombre de un grupo de ciberdelincuentes que ha rastreado datos de tarjetas bancarias desde 2014 y que recientemente se ha centrado en ataques mediante terminales TPV. A finales del año pasado, el equipo de análisis e investigación global de Kaspersky (GReAT) realizó un estudio detallado sobre la evolución de este programa maligno donde concluyeron que Prilex era uno de los primeros grupos que había aprendido a clonar transacciones con tarjetas de crédito, hasta las que están protegidas por tecnología de chip y PIN.
No obstante, Prilex sigue evolucionando: al tiempo que investigaban un incidente, los expertos de Kaspersky descubrieron muestras nuevas de dicho malware. Una de sus novedades es poder bloquear transacciones mediante tecnología NFC, con esto se evita generar el identificador único válido para una sola transacción, lo que en condiciones normales no parece muy atractivo para un estafador. Entonces, al evitar el pago sin contacto, los atacantes tratan de persuadir al usuario de colocar su tarjeta en el dispositivo. Y es en ese momento, donde te pueden clonar la tarjeta mediante un skimmer u otra herramienta.
¿Cómo se infecta a los TPV y por qué?
Según un informe de Kaspersky, mediante métodos de ingeniería social, los atacantes infectan la terminal. Usualmente tratan de convencer a los empleados del punto de venta de que necesitan urgentemente una actualización del software del terminal y, para ello, se ofrecen a enviar un “especialista técnico” directo a la tienda o, al menos, piden acceder a distancia instalando programas de asistencia remota o protocolo de escritorio remoto (RDPs) como AnyDesk, TeamViewer y otros. De hecho, hace poco hablamos en un artículo que te puede interesar, sobre estafas mediante soporte técnico remoto, por lo que te dejamos el enlace a continuación.
El grupo Prilex va por organizaciones dedicadas a la venta minoritaria; o sea, las que usan TPV. En concreto, centran su interés en los dispositivos que funcionan en los concurridos centros comerciales de las grandes ciudades, por donde miles de tarjetas pasan al día.
Prilex ha tenido actividad principalmente en zonas de Latinoamérica. No obstante, los ciberdelincuentes suelen tomar prestadas las herramientas de los demás, por lo que es posible que utilicen dicho malware para otras regiones. De hecho, existen pruebas de que este mismo programa maligno (o al menos su tecnología) ha sido usada en Alemania.
¿Qué se puede hacer para cuidarse de Prilex?
Para el caso de las empresas (en especial las que tienen TPVs en muchas sucursales), es importante desarrollar una serie de regulaciones internas y explicar a todos los empleados cómo trabajan los equipos de soporte técnico y/o mantenimiento. Así, se podría evitar el acceso no autorizado a las TPV. Además, siempre es bueno capacitar y/o actualizar los conocimientos de los empleados sobre las últimas ciberamenazas. De esta forma, serán mucho menos susceptibles a los nuevos trucos de ingeniería social.
Ahora bien, si eres dueño de un pequeño negocio, o trabajas en una tienda y notas que el TPV comienza a rechazar los pagos sin contacto (contactless), es buen momento para comunicarte con el personal TI de la empresa que presta el servicio del TPV, como mínimo. Si el problema es de hardware, lo arreglarán y, si existe una infección, ellos tomarán las medidas necesarias para garantizar la seguridad de la información, o bien, llamarán a expertos externos para obtener ayuda.
¿Conocías este programa maligno que puede afectar a los POS?
