A través de un comunicado, Costco confirmó a sus clientes la detección de un incidente de seguridad que podría haber permitido a los actores de amenazas robar datos de tarjetas de pago mediante el uso de los dispositivos conocidos como skimmers. Según el reporte, los datos potencialmente comprometidos incluyen nombres de usuario, fechas de vencimiento y claves de seguridad de las tarjetas.
La compañía detalla que el hallazgo se produjo durante una revisión de rutina en la que descubrieron los mencionados dispositivos instalados en algunos de sus puntos de venta. En total, el personal de Costco encontró cinco skimmers en cuatro almacenes diferentes, todos en el área de Chicago; la información comprometida varía según la tarjeta afectada.
Los usuarios recibieron la notificación el pasado 5 de noviembre a través de una carta. En este documento, Costco se ofrece a respaldar a los afectados con un año de protección anti fraude gratuita, además de que se presentan algunas recomendaciones de seguridad. Por el momento se desconoce la magnitud que podría tener este incidente, aunque la compañía asegura que seguirán investigando al respecto.
El especialista en ciberseguridad Armen Najarian afirma que esta es una variante de ciberataque muy común y especialmente activa durante la temporada navideña debido al alto flujo de personas en centros comerciales y supermercados. Además, las cadenas minoristas más pequeñas pueden verse específicamente expuestas a estos ataques debido a la falta de personal suficiente, en especial debido a la pandemia.
Cabe recordar que esta variante de ataque requiere de acceso físico a los puntos de venta afectados, a diferencia de los ataques de skimming basados en software como Magecart. Esta variante de ataque parecía haber quedado atrás, hasta que los expertos de la firma de seguridad Cyberpion presentaron un informe asegurando que una oleada de ataques con Magecart podría iniciar pronto si los usuarios no abordan las vulnerabilidades relacionadas con esta campaña.
Magecart es el nombre común de un estilo de ciberataque utilizado por múltiples actores de amenazas. Los operadores de estos ataques comprometen el código desarrollado por terceros con el fin de recolectar información sensible, incluyendo datos de tarjetas de pago. Esta variante de ataque ha afectado a compañías como Ticketmaster y British Airways.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.