Con una aportación del 15.3% del Producto Interno Bruto Turístico y del 1.3% al PIB Nacional, el sector restaurantero es uno de los más productivos y representativos de la actividad turística, que contribuye de manera significativa al crecimiento económico de México. Los millones de transacciones que a diario registra, es para la ciberdelincuencia un gran atractivo, y al mismo tiempo ve en esta industria un objetivo bastante fácil y rentable, la cual a menudo carece de la experiencia técnica para resolver problemas de ciberseguridad.
Dave Klein, director senior de Ingeniería y Arquitectura en Guardicore, informó que las amenazas más populares hacia dicho sector son el robo de tarjetas de crédito y ataques a los sistemas de punto de venta (POS) mediante el uso de kits de herramientas donde el malware se ejecuta en segundo plano de la terminal y continuamente explora los datos únicos que se encuentran en la banda magnética de una tarjeta. En otros casos, los atacantes menos sofisticados pueden llegar fácilmente a los sistemas de punto de venta de manera física, esto debido a que en ocasiones son colocados en lugares donde fácilmente son manipulables.
El directivo agregó que cuando muchos restaurantes se encuentran actualizando los nuevos sistemas de punto de venta de tarjetas con chip EMV (Europay MasterCard Visa), esto conlleva tiempo y energía. Incluso a menudo, durante esta transición todavía se ofrece un lector de banda magnética en tándem como una opción que básicamente los deja vulnerables.
“Las cadenas de restaurantes que tienen múltiples ubicaciones también sufren la dificultad de cambiar los sistemas vulnerables no solo en cientos sino en miles de ubicaciones y hace que la gestión del cambio sea difícil”, precisó.
Si bien, opinó Dave Klein, este es un desafío similar al que se ve en las tiendas minoristas, los restaurantes generalmente tienen un período más prolongado de “tiempo de permanencia”, el tiempo en el que están comprometidos. A menudo, los restaurantes experimentan el doble de “tiempo de permanencia” que el comercio minorista. Más allá de aprovechar las transacciones en el punto de venta, también existen inquietudes sobre los sistemas de datos de back-end, como los programas de afinidad de restaurantes donde se rastrea a los clientes con fines de marketing.
Bajo ataque
“Los ataques cibernéticos contra el sector de los restaurantes han ido aumentado, no solo para los Estados Unidos sino también para México y América Latina. Además, varios estudios muestran que México, Brasil y los Estados Unidos tienen el nivel más alto de fraude con tarjetas de crédito. México, Brasil y el resto de América Latina tienen una tasa de adopción del 90.3% de EMV, en comparación con los EE.UU.”, indicó Dave Klein.
Tan solo en Estados Unidos la lista de ataques es excesivamente grande e incluye muchas cadenas reconocibles por su nombre, incluyendo HuddleHouse, Checkers&Rally’s, Buca di Beppo, Planet Hollywood, Caribou Coffee, Dunkin, Panera Bread, PF Chang’s, Applebee’s, Sonic Drive-In, Chipotle, Pizza Hut e incluso Wendy’s, entre muchos otros.
La mayoría de estos casos, compartieron ciberataques similares preocupantes. Todos tenían sistemas de punto de venta sin parches con lectores de tarjetas conectados y ejecutaban sistemas operativos de Microsoft heredados al final de su vida útil. Estos sistemas estaban en redes con otros dispositivos y servidores y no se mantenían como segmentos protegidos aislados. Las propias empresas en la mayoría de los casos tenían una capacidad de cero a pobre para detectar cualquier actividad cibernética.
Con el objetivo de construir un ecosistema de pagos más seguros para los comercios y para los consumidores, las empresas FinTech, los bancos y los comercios en América Latina esperan que haya un aumento en el uso de los pagos digitales debido a la adopción generalizada de dispositivos conectados. Según un estudio de investigación realizado por Forrester Consulting por encargo de Visa, para apoyar las necesidades de pago de extremo a extremo de los consumidores e impulsar un mayor compromiso digital, las empresas se están enfocando en la banca móvil (57%), las billeteras móviles (50%) y los pagos entre personas (38%). Las principales razones citadas para la adopción de nuevas tecnologías de pago incluyen una mayor conveniencia (58%) y la velocidad de las transacciones (56%).
Dave Klein opinó que la microsegmentación juega un papel importante en la ciberseguridad de la industria restaurantera. “La microsegmentación se puede implementar fácilmente de forma remota en todas sus instalaciones, sistemas de punto de venta y centros de datos. Puede funcionar en sistemas de punto de venta más antiguos con sistemas operativos al final de su vida útil. Ayuda a simplificar la atención y la gestión al bloquear procesos y ataques existentes”.
Además, teniendo en cuenta las regulaciones del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago o PCI DSS, la incorporación de una solución de microsegmentación puede ayudar a las cadenas de restaurantes a cumplir fácilmente con éste y, con las capacidades de visibilidad histórica apropiadas, también pueden validar continuamente su cumplimiento.
