Evitar el efectivo era una cuestión de comodidad en el mundo pre pandemia, pero después de esto, muchas personas han optado, por salud y seguridad, en que sus transacciones sean completamente digitales y sin contacto.
Sin embargo, el crecimiento en este tipo de transacciones, atrajo a los hackers, quienes encontraron en las tecnologías Near Field Communication (NFC) y la identificación por radiofrecuencia (RFID), utilizadas habitualmente en los pagos en puntos de venta sin efectivo, una vulnerabilidad para el robo de datos.
Se cree que el fraude en el punto de venta será más frecuente en la era sin dinero en efectivo posterior a Covid-19. Pero, veamos porque se cree eso, pues las amenazas cambiarán, los fraudes evolucionarán, pero tú puedes hacer mucho para evitarlo.
¿Por qué el pago sin efectivo implica más fraude?
Para ser sinceros, el fraude en los puntos de venta no es tomado tan en serio, en gran medida por la enorme atención que se ha prestado a áreas como la seguridad en la nube y en los móviles.
Pero cuando un cliente utiliza un smartphone o cualquier otro método de pago sin contacto, los números de las tarjetas de crédito quedan vulnerables a menos que se cifren adecuadamente. Más concretamente, es el firmware del terminal de punto de venta el objetivo de los hackers para robar los datos de las tarjetas de crédito y otros datos de pago.
El problema es que muchos comerciantes no utilizan soluciones de cifrado punto a punto para proteger los datos de los puntos de venta. Sin este cifrado, es imposible garantizar que los datos de pago permanezcan seguros desde el smartphone del cliente hasta su destino en los sistemas de procesamiento de pagos backend.
Desgraciadamente, muchos comercios confían únicamente en el cifrado a nivel de transmisión para las transacciones en los puntos de venta, cifrando los datos de las tarjetas sólo cuando pasan del terminal de punto de venta al procesador de pagos. Esto aumenta la oportunidad de ataque para los hackers, introduciendo un riesgo adicional para las empresas en tiempos de crisis.
¿De donde provienen las amenazas de fraude en los TPV?
Una de las mayores amenazas para la seguridad de los sistemas de TPV es el sistema operativo que se utiliza, pues un gran número de ataques a puntos de venta tienen éxito porque los comerciantes utilizan sistemas de software heredados como Linux o Windows XP.
Independientemente del tipo de sistema backend que utilicen los negocios, mantener los parches actualizados también es fundamental para proteger los datos de los puntos de venta. Los fabricantes de equipos originales no siempre crean sistemas de TPV que aborden todas las ciberamenazas cuando se diseña y fabrica el sistema. Por lo tanto, no actualizar y gestionar los parches de seguridad es esencial para prevenir el malware.
Por ejemplo, recientemente se utilizó un malware de TPV para atacar los sistemas de TPV de los surtidores de combustible en las gasolineras de Estados Unidos. Desde entonces, Visa ha emitido una advertencia a todas las gasolineras, afirmando que el nivel de sofisticación de estos ataques es mucho mayor que los esquemas más comunes de robo de tarjetas de crédito y débito que han afectado a las gasolineras en el pasado.
Certificaciones para prevenir el fraude
Las transacciones de débito que utilizan monederos móviles han aumentado en Estados Unidos un 76% en comparación con el año pasado y con ese aumento del volumen, las empresas deberían recurrir a certificaciones de cumplimiento y seguridad probados.
Los negocios que sigan los protocolos o cuenten con herramientas que los cumplan, tienen la oportunidad de garantizar que la mayoría de esas transacciones estén a salvo del fraude y las infracciones en los puntos de venta.
En primer lugar, los comercios deben hacer todo lo posible para cumplir la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS). Aunque la PCI DSS proporciona un marco general fantástico para trabajar, también contiene directrices para los sistemas de punto de venta e incluso recomienda el uso de cifrados.
Al adoptar cifrados, incluso si los ciberdelincuentes acceden al sistema de TPV, no tendrán la capacidad de descifrar los datos y las infecciones o ataques de malware tendrán miles de datos que no pueden entender.
Los negocios también deberían considerar una estrategia de «bloqueo» de los puntos de venta, utilizando una tecnología que incluya una lista blanca de procesadores autorizados. Si cualquier sistema o software entra en contacto con el TPV que no esté en la lista blanca, el sistema se apaga automáticamente y se bloquea por completo hasta que se resuelva el problema, impidiendo que se procese cualquier transacción fraudulenta.
Tanto si se trata de una tienda como de un restaurante, los pagos sin contacto no harán más que aumentar hasta que los consumidores vuelvan a sentirse seguros tocando físicamente e interactuando con monedas, billetes y plásticos.
Los piratas informáticos lo saben y es probable que apunten a los sistemas de punto de venta más que nunca, pero los comerciantes pueden evitarlo conociendo las vulnerabilidades de los puntos de venta, cómo es probable que los hackers intenten entrar y qué estrategias tecnológicas y de cumplimiento deben adoptar.