RESUMEN SOBRE CIBERCRIMEN DE 2014 El año de las violaciones en el punto de venta

En 2014, la violación de los sistemas de puntos de venta de las cadenas de tiendas minoristas y el robo de datos de tarjetas de crédito de millones de compradores ocuparon los titulares de los periódicos más que cualquier otra amenaza de fraude o cibercrimen. La mayoría de dichas violaciones puede atribuirse a ataques de malware en los puntos de venta. A pesar de la facilidad de apuntar a la información bancaria y de tarjetas de crédito de usuarios individuales, los estafadores se encuentran con que comprometer a las tiendas minoristas resulta mucho más lucrativo, y que también es posible afectar a los comerciantes más pequeños. Un método común de ataque e infección es aprovechar la conexión de acceso remoto del proveedor en el punto de venta (mediante RDP/VNC) para realizar un mantenimiento rutinario en el dispositivo. La mayoría de los atacantes de malware en los puntos de venta enumeran los procesos en ejecución y utilizan coincidencias de patrones (mayormente, RegEx) para identificar y extraer información sobre tarjetas de crédito de la memora del proceso en ejecución.

Figura 1: colorida pantalla de inicio de sesión del panel de administración con Chewbacca

INFORME SOBRE FRAUDE

Entre el malware en el punto de venta, se incluyen los siguientes: Chewbacca: un troyano privado que incluye dos mecanismos de robo de datos distintos: un registrador de digitación genérico y un escáner de memoria diseñado para atacar específicamente sistemas de puntos de venta. Fue identificado como un posible agente de las violaciones del sistema de puntos de venta que afectaron a las tiendas minoristas en 2014. Backoff: en puntos de venta: incluye un registrador de digitación, un capturador de memoria y un recopilador de datos magnético Track1/Track2, con compatibilidad adicional con lectores de tarjetas magnéticas integrados en el teclado. LusyPOS: incluye un recopilador de datos magnético Track1/Track2 que se comunica por la red TOR, lo que hace que las comunicaciones y los servidores C&C sean más difíciles de detectar.

EL MALWARE PARA DISPOSITIVOS MÓVILES EVOLUCIONA Con la progresiva adopción de la movilidad y el modelo BYOD, las amenazas para dispositivos móviles continuaron logrando un impulso considerable en 2014. La cantidad combinada de malware móvil y aplicaciones de alto riesgo alcanzó los dos millones, un crecimiento de 170,000 por mes. En el segundo trimestre de 2014, el 85 % del mercado de dispositivos móviles estaba ocupado por Android, y el 98 % de la totalidad del malware para dispositivos móviles afectó a los usuarios de dispositivos Android.

Entre los casos de malware para dispositivos móviles, se incluyen los siguientes: Bot móvil de iBanking: un secuestrador de SMS diseñado para trabajar conjuntamente con troyanos bancarios. Fue descubierto en salas de conversación clandestinas por el Equipo de investigación de RSA en febrero de 2014, y código fuente filtrado reveló capacidades y mecanismos de protección contra SDK avanzados. El bot cuenta con varias funciones, incluidas la enumeración de todas las aplicaciones instaladas en el dispositivo infectado, la recopilación de imágenes del dispositivo y la obtención de datos precisos de ubicación geográfica. Una función agregada es la creciente compatibilidad con entidades objetivo adicionales; un análisis reciente identificó casi 30 plantillas gráficas para iBanking. Figura 2: panel de control para iBanking, disponible en varios colores y temas

APK de bot móvil: en mayo, se descubrió que una actualización de un paquete de aplicaciones móviles de Android (APK) era en realidad una aplicación de un bot de malware. La aplicación se disfrazaba como generadora de tokens para clientes móviles en línea de un banco de Europa del este. Entre las nuevas funciones, se incluye una tabla SQLite para datos robados guardados en el teléfono de la víctima.

Figura 3: ejemplo de una aplicación móvil generadora de tokens falsa

INFORME MENSUAL SOBRE FRAUDE DE RSA

página 2

EL MERCADO CLANDESTINO SE DESARROLLA El mercado clandestino continúa desarrollándose, lo que permite a los estafadores contratar servicios externos con mayor facilidad. El Equipo de investigación de RSA ha identificado tendencias notables en el transcurso del año: la emergencia de monedas específicas de foros (MUSD, UAPS, United Payment System); un sistema de pago anónimo y nuevo, conocido como LessPay; y una oferta y demanda que no solo disminuye los costos de las credenciales, sino que también genera el advenimiento de una aplicación móvil para tiendas CC.

FRAUDE LOCALIZADO ESPECÍFICO DE CADA REGIÓN

Una tendencia que parece continuar desarrollándose es el fraude específico de cada región que está dirigido a una región geográfica o idioma en particular. Los países latinoamericanos parecen estar experimentando un aumento en el fraude financiero en 2014, con estafadores que comienzan a desarrollar una sofisticación en sus herramientas y sus métodos.

Entre los casos de fraudes latinoamericanos, se incluyen los siguientes: Fraude de Bolware y Boleto: en julio, el Equipo de investigación de RSA descubrió que una gran red de estafadores había afectado el popular método de pago Boleto en Brasil mediante la implementación de malware que se estima que facilita el robo de miles de millones de dólares de víctimas inocentes. Mientras el fraude de Bolware y Boleto continúa evolucionando como una versión “Onyx” de Bolware, también se detectó un método de infección de DNS no relacionado con malware que afectó las transacciones de Boleto.

LOS ESTAFADORES APROVECHAN LOS PORTALES FINANCIEROS LEGÍTIMOS A menudo, los estafadores que buscan vulnerabilidades o debilidades en un sistema financiero encuentran maneras de abusar de portales o servicios legítimos para realizar transacciones fraudulentas o recopilar información general sobre sus posibles víctimas.

Portales financieros legítimos abusados: Voxis Team: un equipo de estafadores creó una plataforma automatizada de cobro que permite que transacciones en línea automáticas que utilizan datos de tarjetas de crédito robadas e ID de transacciones olvidados o robados realicen compras mediante el ID afectado del comerciante y transfieran los fondos del pago a cuentas mulas fraudulentas. La plataforma de fraude incluye un panel de control y utiliza algoritmos que imitan el comportamiento en línea real del consumidor, ya que finge compras y transferencias de fondos, además de distribuir aleatoriamente los montos de cada transacción para minimizar las sospechas y la detección. Adicionadores de datos financieros: el Equipo de investigación de RSA informó sobre estafadores que utilizan servicios adicionadores de datos financieros legítimos (administración del dinero personal) para obtener información sobre el perfil financiero y el saldo de una posible víctima, así como sus patrones de comportamiento de transacciones en línea.

INFORME MENSUAL SOBRE FRAUDE DE RSA

página 3

DICIEMBRE DE 2014 Fuente: Equipo de investigación de RSA

Ataques de robo de identidad por mes RSA identificó 46 747 ataques de robo de identidad en diciembre; una disminución del 24 % respecto de noviembre. En base a esta cifra, RSA calcula que el robo de identidad les costó a las organizaciones de todo el mundo US$453 millones en pérdidas.

46 747 ataques

Tipos de bancos estadounidenses atacados Los bancos regionales se vieron afectados por un cuarto del volumen total de robos de identidad en diciembre, mientras que los bancos estadounidenses en todo el país experimentaron un aumento del 8 % en el volumen de robos de identidad (del 50 al 58 %).

Entidades crediticias Regionales Nacionales

Países principales por volumen de ataques Los EE. UU. y Canadá fueron víctimas de más del 75 % del volumen de ataques en diciembre, seguidos por el Reino Unido, India y España.

64% 12%

U.S.

8%

INFORME MENSUAL SOBRE FRAUDE DE RSA

página 4

Países principales de servicio de hosting Los Estados Unidos alojaron el 48 % de los ataques de robo de identidad en diciembre, seguidos por el Reino Unido, Alemania y China.

CONTÁCTENOS Para obtener más información acerca de la manera en que los servicios, los productos y las soluciones de RSA lo ayudan a resolver los retos de TI y del negocio, póngase en contacto con el representante local o un reseller autorizado, o visite nuestro sitio web en mexico.emc.com/rsa (visite el sitio web de su país correspondiente).

mexico.emc.com/rsa

©2015 EMC Corporation. EMC, RSA, el logotipo de RSA y FraudAction son marcas comerciales o marcas registradas de EMC Corporation en los Estados Unidos y en otros países. Todas las demás marcas comerciales mencionadas son propiedad de sus respectivos propietarios. JAN RPT 0115