(Emitido a las 8.26)

EMILIANO COTELO:
¿Alguna vez encontró en el estado de cuenta de su tarjeta de crédito una compra que no realizó? Si alguna vez le pasó, multiplique el sentimiento individual por 40 millones de personas.
 
Porque en Estados Unidos por estos días unas 40 millones de personas están esperando ansiosas que les llegue el próximo estado de cuenta para saber si han sido víctimas del mayor robo de información sobre identidades de la historia.

El viernes pasado MasterCard hizo saber a los bancos que emiten la tarjeta con su logo en Estados Unidos que una grieta, una brecha en la seguridad de los sistemas informáticos de la subcontratista CardSystems Solutions, que es una empresa que procesa operaciones entre los bancos y los comerciantes, permitió a un hacker obtener información sobre eventualmente 40 millones de cuentas si sumamos MasterCard, Visa y otras marcas como American Express o Discover.

Para conocer más sobre este caso y saber qué repercusiones puede tener, incluso para nuestro país, vamos a conversar en los próximos minutos con Fernando Franceschi, que es experto en seguridad informática, auditor en seguridad de sistemas de información y gerente del Departamento de Investigación e Ingeniería de Urudata.

***

Franceschi, comencemos repasando el caso que acabo de introducir. ¿Qué fue exactamente lo que pasó?

FERNANDO FRANCESCHI:
Básicamente fue una brecha de seguridad que sucedió en CardSystems, un procesador de transacciones de tarjetas de crédito.

EC - ¿Cuál es el papel que juega esta empresa en el sistema de las tarjetas de crédito?

FF - Viene a ser un intermediario entre el comercio que tiene un punto de venta para pasar la tarjeta para registrar una compra y la tarjeta; él toma esa información y busca la autorización con el banco emisor de la tarjeta. De esa forma autoriza o no autoriza la compra.

EC - ¿Qué pasó con esta empresa CardSystems?

FF - El problema más grave de lo que ocurrió con esta empresa, primero, es que estaba violando una disposición legal que es que tiene que pasar esos datos del comercio al banco emisor para autorizar y no puede retenerlos. En este caso la empresa retuvo esa información con motivo de investigación –eso fue lo que comentó–, para ver qué había pasado con algunas transacciones que no habían sido exitosas, retuvo esa información en un archivo, cosa que legalmente no debería haber hecho. Entonces un programa que había sido instalado por un hacker en la red le permitió a ese hacker tomar la información. No solamente la información de las 200 mil tarjetas que estaban en ese archivo en particular, que no deberían haber estado ahí, sino que puso en riesgo los 40.000.000 de tarjetas que pasaron durante ese período que podían ser obtenidas de la misma forma.

EC - O sea que directamente en peligro 200.000 tarjetas; 40.000.000 potencialmente en peligro.

FF - Exactamente, 40.000.000 serían las comprometidas porque podían haberlas sacado del sistema. Las 200.000 son las más comprometidas porque era más fácil acceder a ellas porque estaban en un archivo que no estaba encriptado, o sea era un archivo que se podía leer una vez obtenido, se podían leer los números de tarjeta, y eso era obviamente mucho más fácil para el hacker que tratar de sacar la información de un sistema. Por eso esas 200.000 son las más preocupantes, que son de MasterCard, de Visa y otras tarjetas de crédito estadounidenses.

EC - En ese archivo que el hacker capturó, ¿qué datos había de cada tarjetahabiente?

FF - En ese archivo había información de número de tarjeta, el nombre de la persona y, lo más complicado, el código de seguridad de tres o cuatro dígitos de la parte de atrás. Eso le da un valor mucho mayor a esa información en el mercado negro que solamente el número de tarjeta, porque hoy en día muchos sitios de comercio electrónico exigen el código de seguridad que está en el reverso de la tarjeta. Por eso es bastante grave lo que pasó, porque estaban todos los datos como para poder hacer una compra en Internet sin ningún tipo de problema. No había información de direcciones ni de números de seguridad social, que es algo muy importante en Estados Unidos, por lo que se puede hablar de fraude pero no de un robo de identidad propiamente dicho, porque para ello debería estar el social security number. Básicamente es para realizar fraude con esos números.

EC - ¿O sea?

FF - Básicamente para poder comprar bienes a través de Internet utilizando esos números de tarjeta, mandándolos obviamente no a la dirección del hacker sino a p-box, a una dirección más genérica, y retirarlos de ahí; y a quien no hizo la compra, al dueño de la tarjeta, le va a llegar en su estado de cuenta como si la hubiera hecho.

EC - ¿Se sabe cuánto tiempo estuvo abierta esa grieta en el sistema y cuándo ocurrió esto?

FF - Esto fue denunciado por la empresa CardSystems al FBI el 22 de mayo. Aparentemente el FBI –lo que comenta CardSystems Solutions– le pidió que no revelara la información inmediatamente porque le complicaba la investigación; sí obviamente tanto MasterCard como Visa como American Express o Discover tomaron las acciones necesarias, pusieron a los bancos emisores en alerta sobre este posible fraude sobre esas tarjetas, porque ellos conocen el número de esas 200.000 tarjetas.

EC - O sea que no está claro cuál fue el período durante el cual estuvo abierta esa ventana.

FF - No, porque el problema más grande, más allá del que comentaba legalmente de haber mantenido información que no debería haber mantenido, hay una serie de estándares o requerimiento que tanto MasterCard, como Visa, como el resto de las tarjetas imponen a quienes son comercios, a quienes son entidades financieras y a quienes son procesadores de esas autorizaciones. Eso es lo que estaría incumpliendo esta empresa.

EC - ¿Por ejemplo?

FF - Son seis enunciados grandes que son: desarrollar y mantener la red segura; proteger la información del poseedor de la tarjeta –eso quiere decir no tenerla en ningún momento en tránsito, tenerla siempre encriptada, de forma que un hacker no la pueda ver–; mantener –esto es importante– un programa de administración de vulnerabilidades –porque lo que sucedió aquí es que este hacker pudo entrar a obtener ese archivo porque había una vulnerabilidad a nivel de algún sistema que permitió instalar el software que fue a buscar la información. El tema de vulnerabilidad es bastante crítico, es uno de los temas más críticos en la seguridad hoy en día, porque podía haber impedido, por más que el archivo estuviera físicamente ahí que la persona entrara e instalara ese software en particular. Además se necesita de medidas de control de acceso; monitorear regularmente las redes; mantener una política de seguridad de la información sólida. Son seis puntos que tanto MasterCard como Visa exigen a quienes participan en la cadena de valor de las tarjetas de crédito.

EC - Da la sensación de que con todos esos elementos esa empresa CardSystems se ha metido en un lío grande, ¿no?

FF - Sí, está en un lío grande porque incluso hay costos financieros bastante grandes, hay costos de hasta medio millón de dólares por incidentes en caso de que no hubiera seguido los lineamientos que le piden tanto Visa como MasterCard. Realmente es un problema grande, fue, como tú decías, el evento más grande que ha habido de robo de información personal.

EC - Ah, no hay efectivamente antecedentes de ese tamaño.

FF - No; si hay el antecedente de que desde el 15 de febrero de este año hasta la fecha, hasta el viernes 17, se han afectado 10 millones de personas, han sufrido la pérdida de algún tipo de información personal, y se han perdido cerca de 50 millones de elementos, léase nombres, números de tarjeta, números de seguridad social, etcétera. O sea que es un problema que está creciendo; esto es solamente en Estados Unidos. Realmente es un problema bastante grave y la forma de atacarlo es esa, mantener auditorías regulares –también lo exige MasterCard y en este caso no se habría cumplido– por parte de terceros una vez al año y uno mismo evaluar su seguridad cada tres meses, porque obviamente son temas bastante dinámicos y no es solamente sacar una foto, estoy certificado para trabajar y puedo seguir operando sin problemas. Tengo que tener ese ciclo de seguridad en movimiento.

EC - En el caso de Uruguay, ¿qué repercusiones puede haber de este caso que estamos comentando que, si entiendo bien, ocurrió con tarjetas emitidas por estas empresas que hemos mencionado en Estados Unidos?

FF - Sí, básicamente afectó a muchos emisores de bancos estadounidenses y asiáticos en particular. Pero es como todo, al tener tarjetas internacionales si uno efectuó una compra y la autorizó un banco que está tanto aquí como en Estados Unidos también se podría ver afectado. Son los menos los casos donde podría impactar.

EC - ¿El riesgo está focalizado en uruguayos que puedan haber hecho compras en Estados Unidos en ese período?

FF - Es muy corto ese riesgo porque las que están en riesgo mayor son 200.000 tarjetas, de las cuales la mayoría de las compras las hicieron estadounidenses, pero si alguien hizo una compra estando en Estados Unidos y pasó por el sistema de CardSystems para procesar su autorización, su tarjeta viajó por ese procesador. Pero es el menos probable de los casos porque debería ser en caso de turismo, etcétera. No es como el caso del día a día de los estadounidenses.

EC - ¿Es posible que ocurran problemas similares acá, entre nosotros?

FF - En Uruguay hay procesadores que les hacen el trabajo de autorización a entidades financieras, hay algunas entidades financieras que lo hacen ellas mismas, o sea que la problemática sí está, existe ese tipo de empresas en Uruguay, y obviamente van a tener que tener las consideraciones de seguridad, mantener lo que piden Visa y MasterCard, por eso estas empresas dijeron: "Nosotros al estándar lo tenemos definido; está escrito, no hay ninguna vuelta en ese sentido; el tema es cumplirlo". Evidentemente esas empresas que están operando aquí deberían cumplir con esos estándares y así estaríamos protegidos.

-------------------------
Transcripción: María Lila Ltaif Curbelo
Edición: Mauricio Erramuspe