A medida que se filtran detalles sobre el hackeo a Home Depot (y muchas, muchas más violaciones de datos) no se puede dejar de preguntar: ¿Cómo sucedió esto, especialmente cuando se suponía que la empresa debía adherirse a las normas de seguridad específicas o de lo contrario perdería su capacidad de procesar transacciones de tarjetas de crédito?
De acuerdo con The New York Times, el defectuoso sistema de seguridad de Home Depot permitió que la información de sus clientes fuera robada por meses, de forma desapercibida. Estos defectos incluyen el uso de software antivirus desactualizado de Symantec desde el año 2007, no monitorear la red de forma continua con el fin de detectar un comportamiento sospechoso, y la realización de análisis de vulnerabilidad de forma irregular y en solo un pequeño número de tiendas.
Esto no debió ocurrir. Home Depot, como cualquier comercio que acepte tarjetas de crédito, debía cumplir con los estándares de seguridad establecidos por el Concejo de Normas de la Industria de Tarjetas de Pago. Formado en el 2006, este grupo de emisores de tarjetas de crédito establece las normas mínimas para las empresas que aceptan tarjetas de crédito.
“El panorama de las amenazas está en constante evolución, y PCI SSC espera que las normas de seguridad hagan lo mismo”, señaló Stephen W. Orfei, GM de PCI SSC, en un comunicado. “Los recientes ataques son preocupantes, pero estamos seguros de que, en colaboración con nuestra comunidad de expertos, estamos manteniendo nuestros estándares y la orientación enfocada fuertemente en la obtención de datos de tarjetas de pago en todo el mundo”.
PCI establece una “línea de base” para las normas de seguridad
En teoría, el PCI es bueno para los minoristas. La seguridad es cara, pero el PCI establece un estándar mínimo que todos deben cumplir, desalentando la competencia de tomar atajos para maximizar las ganancias.
“Los estándares PCI proporcionan una fuerte protección de línea de base y deben ser parte de cualquier enfoque basado en el riesgo y en capas para la seguridad”, señaló Orfei, añadiendo que la versión 3.0 del Estándar de Seguridad de Datos PCI aborda “cómo hacer que la seguridad del negocio sea usual, qué tener en cuenta al trabajar con terceros, y cómo utilizar capas de defensa para protegerse contra el malware”.
Dicho esto, los estándares PCI no son perfectos contra la prevención del fraude. Mike Lloyd, director de tecnología de RedSeal Networks, una empresa de soluciones de administración de riesgo de seguridad, los equipara con las señales en los baños que le dicen a los empleados que deben lavarse las manos antes de volver al trabajo.
“No todo tiene que ser así, esos signos no son una higiene perfecta, pero establecen una barra básica, y si todo el mundo las sigue, estaremos mejor”, anotó. De la misma manera, las normas de PCI establecen una barra mínima: “Necesitan que sus competidores lleguen al mismo nivel de base”.
Si sus competidores siguen esos mínimos pasos, no hay más que hacer. Basado en información que Vinny Troia ha visto sobre el hackeo a Home Depot, no cree que el minorista debió pasar su evaluación, ya que la empresa supuestamente no estaba revisando sus registros diariamente.
“Cada vez que los datos eran recopilados y enviados a otro lugar, habría sido captado en los registros de seguridad”, indicó Troia, CEO de Night Lion Security, una consultoría de seguridad de la información. “Si tiene el equivalente a un caño que gotea, y lo ve todos los días, va a notarlo. Tal vez lo mira una vez a la semana. Si las cosas no se ponen muy mal, tal vez una vez al mes. Pero Home Depot no lo vio durante cinco meses”.
Los objetivos de PCI del cliente y del auditor raramente coinciden
Los requisitos de presentación de informes de PCI cambian dependiendo del tamaño de su negocio. Las empresas más pequeñas las hacen por sí mismas. Las grandes empresas como Home Depot deben utilizar una tercera entidad que se denomina asesor de seguridad cualificado (QSA, por sus siglas en inglés) para llevar a cabo lo que es esencialmente una auditoría de seguridad para asegurarse de que cumplen con las medidas.
Los objetivos del PCI, los minoristas y QSA no suelen alinearse, señala Lloyd.
* PCI está destinado a proteger a los emisores de tarjetas y a asegurarse de que los consumidores se sientan lo suficientemente seguros para utilizar tarjetas de crédito y débito, por lo tanto, aseguran que los emisores de tarjetas obtengan un beneficio. Es por eso que establecen estas normas.
* Los minoristas quieren tener tanto beneficio como sea posible al mantener los costos lo más bajo posible. La seguridad es cara, sobre todo para las grandes cadenas de distribución, y es un lugar tentador para empezar a cortar esquinas.
* QSA, un grupo que incluye a grandes nombres como PricewaterhouseCoopers y AT&T Solutions Consulting, también busca obtener un beneficio. Lo hacen mediante la realización de tantas auditorías de seguridad como sea posible -y los minoristas pagan por aquellas auditorías.
Fijación de PCI: ¿Penalidades, automatización, menos relaciones cómodas?
Lloyd apuntó a la relación entre un minorista y QSA como un potencial punto débil en el sistema. “No todos los QSA son los mismos”, señaló. “Ellos tienen que competir entre sí también”.
No es raro para los minoristas busquen QSA, añadió. Exigir a los minoristas que contraten un QSA diferente, al menos una vez cada dos años, impediría que la relación se vuelva demasiado acogedora.
Orfei señaló que PCI no controla ni hace cumplir la relación QSA/comerciante, que considera similar a cualquier otro tipo de relación cliente/auditor. “Al igual que otros auditores, QSA tiene la responsabilidad de proporcionar una evaluación independiente de terceros”, indicó.
Lloyd también recomendó la automatización. “Todos estamos comprometidos en esta industria y tratando de averiguar cuánto de esto podemos automatizar, porque ahí es donde está la ganancia”, mencionó. “Tome las normas PCI y conviértelas en algo que una máquina pueda hacer y trate de agarrar la mayor cantidad de automatización que pueda”.
La automatización bajaría el costo del cumplimiento de las normas PCI. Eso, a su vez, aumentaría las probabilidades de que las empresas sigan esas normas sin tomar atajos. La automatización de los trabajos de QSA también significa que hay menos margen para el error humano.
Otra táctica: penalizar a las empresas que no cumplan. “En el caso de todas estas infracciones, no se ha hecho una sola vez. Las transacciones nunca se suspenden”, anotó Troia. “Mi opinión personal es que esa es la única forma en que alguien realmente recibirá el mensaje”.
Orfei señaló que PCI no juega un papel en la gestión del cumplimiento de sus propias normas. “PCI SSC se centra en el liderazgo del pensamiento de seguridad de pago incluyendo el desarrollo de normas técnicas. Los incentivos o la aplicación para cumplir con las normas PCI es función de las marcas de tarjetas bancarias y sus socios”.
– Jen A. Miller, CIO EE.UU.