SUT Ort en eee ‘no de los principales robos de bancos de todos los tiempos ocurrié en diciembre de 2012 y en febrero de 2013, cuando una red mundial de erimi- nales cibernéticos loged robar $45 millones en das operaciones de pirateria informatica, Los ladrones se enfocaron en wna empresa en La India, y una empresa ubicada en Estados Unidos que procesa transacciones de tarjetas de débito prepagadas Visa y Mastercard. Se sabe que los procesadores de pagos emplean una seguridad de red menos estricta que las instituciones ‘inancieras, Una vez que tuvie- ron acceso a la informacion de las cuentas, los hackers buscaron las tarjetas de débito prepagadas emitidas por dos bancos del Medio Oriente cuyas bases de datos ofrecian otro punto de seguridad relajada: Rakbank (Banco Nacional de Ras Al-Khaimah) en los Emiratos Arabes Unidos y el Banco de Muscat en Oman. En vez.de acumular muchos miimeros de cuentas, los hackers ¢liminaron los limites de retiro en solo algunas tarjetas. La informacién de s6lo cinco tarjetas emitidas por Rakbank generaron los $5 millones iniciales; s6lo doc: tarjetas del Banco de Muscat recabaron la mayor parte en el segundo ataque, No se vaciaron cuentas de banco indi- viduales 0 empresariales, sino que los fondos se extrajeron de cuentas de reserva com: partidas de las que se deducen de inmediato las transacciones de las tarjetas de débito prepagadas con la concurrente reduecion de las subcuentas individuales (el valor aso- iad con una tarjeta). Ambas tdcticas se diseftarun para retrasar la detection, A continuacién, los hackers crearon nuevas niimeros NIP (identificacion personal) para las tarjetas. Luego, usando codificadores de tarjetas disponibles en el ambito comercial conectados por puertos USB a laptops y equipos PC; una red de ejecutores cimplemente utilizé el software integrado para introducir loe datos de la cuenta, hicie ron clic en Escribir 0 Codificar, y pasaron todas las tarjetas de plastico con tira magné- tica que pudieron, incluyendo las viejas tarjetas de crédito expiradas y tarjetas de la- ves de hotel. Con las tarjetas falsificadas en la mano, equipos en mas de dos docenas THEFT 303304 Parte Dos Infraestructura de a tecnologia deta informacién de paises como Japon, Rusia, Rumania, Egipto, Colombia, Gran Bretafia, Sri Lanka, Canada y Estados Unidos comenzaron a recolectar el dinero en cajeros automiticos. El bootin de $45 millones se logré a través de 36,000 transacciones bancarias en alrededor de diez horas. En mayo de 2013 se arrestaron a siete: miembros de la célula de Nueva York; un mes antes encontraron al octavo, y supuesto lider, asesinado en la Republica Dominicana. No se pudo atrapar alos lideres de la mafia mundial. Las tiras magnéticas son una tecnologia antigua de més de cuatro décadas que gran parte del mundo ha abandonado debido a que son muy vulnerables ala falsificacion y el robo mediante ‘skimmers' de tarjetas portatiles. Otras regiones importantes del mundo han estado usando tecnologia EMV (Buropay, MasterCard y Visa) por casi 20 afios. conocido comunmente como el sistema de chip y Air, las tarjetas inteligentes tay almacenan informacién de las cuentas en un chip integrado y su cifrado de datos es més robusto que el de las tarjetas de tira magnética. Las tarjetas de crédito de tira magnética presentan los mismos datos de autenticacién cada vez que se pasan, mientras que las tarjetas dl sistema de chip y NIP oftecen un valor matematico cifrado distinto cada vez, Jo que hace més dificil para los ciminales usar datos robados para compras en el futur, Para una seguridad adicional, el usuario debe introducir un NIP para verificar la ident dad del tarjetahabiente. Los bancos estadounidenses y los comerciantes se han opuesto a los gastos que {implica el cambio de sistemas de procesamiento de pagos. No es una cuestion insignifi- Ccante, Hay que eeemplazar nes Je 600 millones de tarjetas de crédito y 520 sailloues de tarjetas de débito, Ademas hay que reemplazar mas de 15 millones de lectores de tar- jetas de puntos de venta, Es necesario modernizar o reemplazar cerca de 350,000 cajeros, antomaticos en todo el pais. Cada tienda, restaurante, estética, gasolinera, consultorio ‘médico, quiosco y miquina expendedora se verdn afectador, al igual que la infraestrac- tura de procesamiento de pagos en los bancos adquirientes, donde las cuentas mercan- tiles reciben los depésitos de las ventas provenientes de tarjetas de crédito, También se veran afectados los procesadores de pagos, que suministran el software ¥ los sistemas tecnol6gicos para interconectarse con las asociaciones de tarjetas (Visa, MasterCard, etc.) y procesar las transacciones con tarjetas. Entre tanto, en el nombre ée la interoperabilidad global, el resto del mundo ha seguido emitiendo tarjetas EMV con tira magnética ¥ conservan la infraestructura de las tiras magneticas. Pero tal vez el cambio legue finalmente en Estados Unidos. A partir de octubre de 2015 y hasta finales de 2017, si un comerciante no cuenta con capacidad para EMV en la fecha especificada, asumird la responsabilidad por transacciones frau- dulentas y disputadas. Fuentes: Javelin Strategy & Research, “EMV IN USA: Assessment of Merchant and Card Issuer Readiness, abril de 2014; Colleen Long y Martha Mendoza, “Blodless bank heist impressed cyber- abe expert’, Asapelotad Prac, 16 dn mea de 2012; Mare Sam, Yin Hones, "Tslavan Toke 45 Million in A:T.M. Scheme’, Naw York Times, 9 de mayo de 2013; Peter Svensson, Martha Mendoza y Ezequiel Abii Lopez, “Global network of hackers steals 45M from ATMs", Associated Press, 10 de mayo de 2013, y “EMV Chip Technology, Secure Electronic Payments’, Rrbes, 7 de ‘marzo de 2013, 0s problemas creados por el robo de banco de $45 millones utilizando tarjetas de cajero automatico falsificadas ilustran algunas de las razones por las que las empresas necesitan poner especial atencién en la seguridad de los sistemas de informa- ion. Los sistemas digitales de tarjetas de crédito y de cajeros automaticos son herra- ‘mientas sumamente utiles tanto para individuos como para empresas. Sin embargo, desde el punto de vista de 1a seguridad y como se ilustra en el caso, son vulnerables a los hackers que pudieron acceder a los datos supuestamente protegidos de cuentas de tarjetas, y usar estos datos para crear tarjetas falsificadas con las que atracaron numero- 508 cajeros automaticos. El diagrama de apertura del capitulo ditige la atencion a los puntos importantes sgeneraclos por este caso y este capitulo. Aunque los procesadores de pagos de tarjetas de debito (y crédito) tienen cierta seguridad implementada en los sistemas de informacion,Capitulo 8 Sequridad ens sistemas de informacién 305 Tecnologia de proteccion * Desarrollr poiticas y de tarjetas obsoleta plan do seguridad © Soguriad de reces © Seleccionar y bases de datos dobil tecnolagkas se seguridad © Desarrllarprocesos de pago © Emitetagetas decreditoy debto '© Preverir robo «© Protoger activos: do datos y de financieros ‘ortaaa '© oduct costos 1 mplomentar wenlogta se operacion deta magnesica ‘= Impiomentar tecnologia EMV 1a seguridad que ullizaban algunos procesadures de pagos y banicus eta muy débil. Estas ‘vulnerabilidades permitieron que los criminales entraran en los sistemas de varias ‘empresas de procesamiento de pagos y robaran informacion de las cuentas de tarje- tas de débito que pudo usarse para fabricar tarjetas falsas de cajero automatico con las «que pudieron robar de dos bancos. La forma en que los bancos en cuestion procesaban los pagos de tarjetas mediante cuentas de reserva compartidas también ayud6 a los criminales. Estos bancos también tenian una seguridad débil. Otro eslabon débil en la ‘cadena de la seguridad son las mismas tarjetas de cajero automatico, ya que los datos en las tarjezas con tecnologia de tira magnética, incluyendo las que son muy populares en Estados Unidos, pueden cambiarse con facilidad para crear tarjetas falsificadas. La tecnologia EMV para proteger las tarjetas es mas segura, pero es costosa de imple- ‘mentar cuando los sistemas de pagos en Estados Unidos usan un estandar distinto. Pero sin importar cual sca el costo, Ins tarjctas de crédito y bancarias dc Bstados Unidos pronto cambiaran a los sistemas EMV. Esto no eliminari de raiz os usos fraudulentos de estas tarjetas, pero reducira las probabilidades de que eso ocutta. He aqui algunas preguntas a tener en cuenta: :qui vulnerabilidades de seguridad explotaron los hackers? ,Qué factores de administracion, organizacionales y tecnolégi ‘cos contribuyeron a estas debilidades en la seguridad? ;Queé soluciones hay disponibles para este problema? ESS ZPor QUE SON VULNERABLES LOS SISTEMAS DE INFORMACION A LA DESTRUCCION, EL ERROR Y EL ABUSO? tec seaos pat oupastes cine deat CoE esses y ptt rer vat rota to Ss le hp ee ua ede citso ola linc prec essen taes G tga asafensesnpuntnpatieec pase yrtenons aes ter mnoncas mnths ea nna ls, os das co tele opp dace erent Bian nop tess nc