Es común que las nuevas versiones del estándar PCI DSS se desarrollen para abordar las cambiantes amenazas y desafíos en el ámbito de la seguridad de los datos de tarjetas de pago. Estas actualizaciones incluyen mejoras en la seguridad y ajustes en los requisitos técnicos, alineándose con las tendencias y tecnologías emergentes.
Es por ello que en este nuevo artículo se explicarán las modificaciones y nuevos requisitos implementados en la versión PCI DSS v.4.0.1, de marzo del 2022, relativos a la protección frente ataques de ingeniería social.
La ingeniería social se presenta como una técnica de manipulación que explota las vulnerabilidades humanas, enfocándose en la psicología del individuo para acceder a información confidencial o sistemas seguros. A diferencia de los ciberataques que se dirigen hacia fallos tecnológicos, la ingeniería social apunta a las personas, quienes suelen ser el eslabón más débil en la cadena de seguridad. Este enfoque permite a los atacantes persuadir o engañar a las víctimas para lograr sus objetivos, destacando cómo el factor humano puede comprometer incluso los sistemas más protegidos.
En el contexto de la seguridad bajo el estándar PCI DSS (Payment Card Industry Data Security Standard), los ataques de ingeniería social se centran especialmente en la obtención de datos de tarjeta, como el número de tarjeta, el código de verificación de tarjeta y la fecha de vencimiento, así como en la captura de datos sensibles de autenticación y la infiltración en sistemas que manejan información de cuentas. Estos ataques aprovechan la manipulación psicológica para engañar a empleados o clientes para acceder a datos financieros, lo que puede resultar en compromisos graves de seguridad.
Dentro de la ingeniería social existen diferentes tipos de ataques en función del método de obtención o solicitud de la información, siendo los más comunes el phishing, smishing y el vishing.
- El phishing es un tipo de ataque que consiste en el envío de correos electrónicos falsos con el fin de obtener información personal, datos sensibles de autenticación o datos de tarjeta . Se caracterizan por intentar suplantar a una entidad pública, un banco o una empresa con el fin de alertar de un problema u ofrecer un servicio de gran interés para la víctima. Al mismo tiempo que se adjunta un enlace a una página fraudulenta donde se solicitan los datos. Este ataque suele ser el más utilizado.
El smishing es una forma de phishing que se lleva a cabo a través del envío de mensajes de texto, SMS o mensajes telefónicos. Estos mensajes, al igual que en el phishing tradicional, buscan engañar a la víctima haciéndose pasar por una fuente confiable. Generalmente, incluyen un enlace fraudulento o un número de teléfono de tarificación especial, incitando a la víctima a hacer clic o llamar, con el fin de robar información personal o financiera, o generar cargos indebidos.
El vishing (voice phishing) implica el uso de llamadas telefónicas con la intención de obtener información de la víctima. Bajo el pretexto de verificar la identidad del usuario, los atacantes se hacen pasar por representantes de empresas legítimas, como bancos o instituciones financieras, y solicitan información confidencial, como datos de cuenta (datos de tarjeta y datos sensibles de autenticación).
Los estándares PCI DSS (Payment Card Industry Data Security Standard) son un conjunto de normas y requisitos destinados a garantizar la seguridad de la información de tarjetas de pago y reducir el riesgo de robo de datos de tarjetas y datos sensibles de autenticación.
La relación entre PCI DSS y la ingeniería social es directa y crítica, ya que un solo incidente de ingeniería social exitoso puede comprometer toda la infraestructura de seguridad de una organización.
Esta versión marca una evolución significativa en la manera en que las organizaciones deben proteger los datos de los titulares de tarjetas, integrando nuevas medidas para contrarrestar las tácticas de ingeniería social que actualmente suponen el 49% de los ataques recibidos.
La naturaleza de la ingeniería social, al dirigirse directamente a las personas que manejan o tienen acceso a estos datos, presenta un desafío particular para cumplir con los requisitos del estándar. La versión 4.0.1 de PCI DSS aborda este desafío mediante la implementación de controles más estrictos en la capacitación del personal, la autenticación, el monitoreo de accesos y la gestión de terceros.
Esta actualización refleja la comprensión de que la seguridad no se trata solo de proteger la tecnología, sino también de fortalecer la capacidad de las personas para reconocer y resistir los intentos de manipulación, asegurando así la integridad de los sistemas y datos sensibles en el entorno de pago.
Entre las fuentes técnicas que abordan estos temas, destacan publicaciones como “PCI DSS v4.0.1: Navigating the Changes” (2022) y “Social Engineering in Cybersecurity: A Framework for PCI DSS Compliance” (2021), donde se exploran en detalle las medidas específicas del estándar que ayudan a mitigar el impacto de la ingeniería social en el manejo de datos de pago.
¿Cómo aborda la nueva versión de PCI DSS 4.0 la ingeniería social?
Las crecientes amenazas de ingeniería social exigen que PCI DSS actualice su estándar, impulsando a las empresas a implementar controles para proteger los datos de cuenta (CHD y SAD).
En los siguientes puntos desglosaremos los cambios de la nueva versión del estándar relativos a la seguridad frente a los ataques de ingeniería social, incluyendo la protección frente ataques de este tipo (requisito 5), gestión y autenticación de usuarios y contraseñas (requisito 8) y la formación de empresas y empleados (requisito 12).
Requisito 5.4 del Estándar PCI DSS: Protección contra Ataques de Phishing
El requisito 5.4, buena práctica hasta el 31 de marzo de 2025 y posteriormente requisito obligatorio, enmarcado en la protección de sistemas y redes malintencionado, adquiere una relevancia crítica al abordar la amenaza persistente que representan los ataques de phishing en el entorno de seguridad de los datos de cuenta (datos de tarjeta y datos sensibles de autenticación).
En la versión anterior, el requisito 5 no abordaba adecuadamente la ingeniería social como parte de la protección antivirus en software y programas, dejando un aspecto crítico de la seguridad sin control específico. Sin embargo, en la última actualización, se ha decidido ampliar y desglosar este control, incorporando nuevos requisitos que se centran específicamente en la ingeniería social. Este cambio refleja un enfoque más robusto y detallado para combatir amenazas como el phishing, que puede resultar en robo de datos, obtención de credenciales o suplantación de identidad.
El objetivo principal del nuevo requisito 5.4 es reducir las oportunidades que el personal tiene para evaluar la autenticidad de una comunicación y limitar las respuestas individuales a ataques de phishing. Para ello, se implementan procesos y se automatizan mecanismos diseñados para prevenir y proteger contra estas amenazas, asegurando una defensa más proactiva y efectiva frente a los riesgos asociados.
Se recomienda a las organizaciones a considerar diversas medidas para fortalecer sus defensas contra los ataques de phishing:
- Técnicas Antispoofing: Estas técnicas disminuyen la posibilidad de que los atacantes falsifiquen el dominio de la organización y suplanten la identidad de un empleado. Se recomienda el uso de técnicas como:
- Marco de Políticas del Remitente (Sender Policy Framework, SPF ): Esta técnica se basa en la verificación de los servidores de procedencia de los mensajes mediante la IP desde donde se envía el mensaje. Estos servidores deben ser legítimos y estar asociados con un dominio específico, creado por la propia empresa o usuario, dando la posibilidad de escoger qué servidores de correo pueden enviar correos en su nombre.
En caso de recibir un correo no perteneciente a este dominio específico (SPF), el servidor tiene acciones predeterminadas para tratarlos, como puede ser la eliminación del correo o la señalización de este como sospechoso.
- Correo Identificado con Claves de Dominio (DomainKeys Identified Mail, DKIM ): Esta técnica se usa para verificar la integridad de los mensajes recibidos desde un servidor de origen específico mediante la introducción de una firma criptográfica en la cabecera del mensaje. Las firmas criptográficas se basan en el modelo de cifrado de clave pública perteneciente al dominio. En el caso de que se modificara el contenido del correo, al llegar al destinatario, el mensaje se descartaría o, en caso de tener una política de seguridad diferente, se trataría de manera específica , como por ejemplo el bloque del dominio del remitente o la puesta en cuarentena del mensaje.
- Autenticación de Mensajes Basada en Dominio, Informes y Conformidad (Domain-based Message Authentication, Reporting & Conformance, DMARC ). El DMARC combina las dos técnicas mencionadas anteriormente (SPF y DKIM) con la diferencia que este añade una nueva capa de autenticación al proceso. Esta permite a los propietarios de los servidores de correo establecer y gestionar una política de actuación por parte de los servidores en el caso de no pasar la autenticación SPF y/o DKIM.
Las tres principales políticas que se pueden aplicar son:
- Rechazo: Si el mensaje no pasa la autenticación DMARC, se rechaza el correo y el servidor no lo entrega al destinatario
Marcado como Spam: El mensaje puede ser entregado, pero se marca como spam o se pone en cuarentena
No actuación: No se toman medidas inmediatas sobre el correo, lo que permite monitorear los mensajes no autorizados.
A esto hay que sumarle el hecho de que DMARC permite generar informes a los dueños de los dominios sobre los intentos de phishing realizados en su nombre para su estudio y recopilación.
- Depuradores de Enlaces y Antimalware: La implementación de tecnologías que bloqueen correos electrónicos de phishing o con malware antes de que lleguen al personal es esencial. Los depuradores de enlaces y las soluciones antimalware desde el servidor pueden prevenir la exposición del personal a contenidos maliciosos.
- Depurador de Enlaces (Link Debugger): Un depurador de enlaces o también conocido como Link Debuggers es una herramienta que se utiliza para verificar y analizar la validez, seguridad y el comportamiento de los enlaces o URLs.
Su objetivo es ayudar a los usuarios a identificar si un enlace es seguro y redirige a un sitio web legítimo, o si podría ser una amenaza, como un sitio web malicioso que intenta suplantar la identidad de una empresa real. Este tipo de herramientas son fundamentales para detectar intentos de phishing, ya que permiten evaluar si un enlace redirige a un destino confiable o si pudiera estar diseñado para engañar al usuario y robar sus datos.
Se revisa la reputación de los sitios web o dominios adjuntos comparándolo en bases de datos con amenazas conocidas (Google Safe Browsing, Symantec WebPulse, Cisco Talos Intelligence entre otras ) o bien revisando si se han realizado acortamientos de las URLs , ya que los acortadores de URLs ocultan la dirección completa del enlace, los usuarios no pueden ver el destino final antes de hacer clic, lo que facilita a los atacantes disfrazar enlaces maliciosos como confiables.
Antimalware: Los programas antimalware, también conocidos como antivirus o software de seguridad, son programas diseñados para detectar, prevenir y eliminar malware (software malicioso) de archivos. El malware incluye virus, gusanos, troyanos, spyware, adware, ransomware y otras amenazas informáticas que pueden dañar, robar datos o comprometer la seguridad de un sistema. Los escaneos en busca de malware se realizan en tiempo real, cada vez qu e se intenta descargar o abrir un elemento adjunto en un correo electrónico.
Generalmente, los ataques de phishing dirigidos a empresas, especialmente aquellas que operan en entornos de cumplimiento con el estándar PCI DSS, tienen como objetivo primordial la obtención de credenciales de usuarios con acceso a todos los entornos que procesan, transmiten y/o almacenan Datos de Tarjetas de Pago (CHD) y Datos Sensibles de Autenticación (SAD ). Estos datos son extremadamente valiosos en el mercado negro, ya que facilitan la clonación de tarjetas de pago o la realización de operaciones fraudulentas.
Los ataques de phishing pueden dirigirse no solo al personal con acceso a este tipo de datos, sino también a personas relacionadas con este usuario para poder, desde este, acceder al usuario con acceso. Por lo tanto, todas las medidas preventivas se aplican a todos los usuarios, independientemente de su nivel de acceso.
La implementación de estas medidas tiene dos objetivos clave:
- Reducir el tiempo que los empleados deben invertir en verificar la autenticidad y legitimidad de los correos que reciben, protegiéndolos de posibles ataques de phishing y disminuyendo la probabilidad de que se reporte este tipo de ataques.
- Establecer un alto nivel de seguridad y prevención que genera confianza entre los clientes y refuerza la reputación de la organización en cuanto a la protección, protección y gestión de datos.
Requisito 8.3.3 del Estándar PCI DSS: Establecimiento y gestión de una autenticación fuerte para usuarios y administradores
El requisito 8.3.3, enmarcado en la autenticación de usuarios y administradores, cobra una especial importancia cuando se menciona la ingeniería social debido a que los atacantes mediante diferentes técnicas intentarán hacerse pasar por usuarios legítimos con tal de poder cambiar un factor de autenticación en su favor y así poder tener acceso al sistema.
Es por ello, que los encargados de seguridad deben verificar la identidad del usuario antes de modificar cualquier factor de autenticación, restablecimiento de contraseñas o el proveimiento de nuevos tókenes, hardware o software, y así evitar que personal no autorizado pueda obtener acceso al sistema suplantando la identidad de un usuario autorizado . Entre los métodos que se pueden usar para verificar la identidad de un usuario encontramos, por ejemplo, una pregunta/respuesta secreta, información basada en el conocimiento, y llamar al usuario a un número de teléfono conocido y previamente establecido.
Requisito 12.6.3.1 del Estándar PCI DSS: Formación y Concienciación sobre Seguridad para Empleados
La capacitación en seguridad del personal se erige como un componente esencial para preservar la integridad de los datos de cuenta y prevenir posibles brechas de seguridad. El estándar PCI DSS incorpora requisitos específicos diseñados para asegurar que el personal de una organización esté debidamente informado y capacitado en prácticas de seguridad efectivas.
En la última versión del estándar PCI DSS, se ha introducido un nuevo requisito específico, el 12.6.3.1, el cual aparece como buena práctica hasta marzo de 2025, cuando se convertirá en un requisito obligatorio, y que se centra en la concienciación de los empleados en relación con la ingeniería social. Este enfoque se torna indispensable ante el aumento de casos en los últimos años en los que la ingeniería social se ha convertido en uno de los principales vectores de ataque empleados por los "hackers".
Objetivo de la Formación:
La introducción del requisito 12.6.3.1 busca concienciar a los empleados sobre sus propias vulnerabilidades como seres humanos y cómo los atacantes intentarán explotar esas debilidades. Esto implica proporcionar una comprensión profunda de las técnicas utilizadas en la ingeniería social y brindar ejemplos concretos para que los empleados puedan detectar, reaccionar y reportar cualquier intento de ataque mediante estas tácticas.
Elementos Clave de la Formación:
- Técnicas de Ingeniería Social: La formación debe abordar una variedad de técnicas de ingeniería social utilizadas por los atacantes, como el phishing, el pretexting y la manipulación psicológica.
- Ejemplos Prácticos: Proporcionar ejemplos concretos de ataques y situaciones de ingeniería social para ilustrar cómo se ven en la práctica.
- Detección y Reacción: Instruir a los empleados sobre cómo reconocer señales de posibles ataques y cómo reaccionar de manera segura ante ellas.
- Reporte: Subrayar la importancia de informar sobre posibles intentos de ataque para que la organización pueda tomar medidas preventivas.
- Control y Verificación del Conocimiento: Para garantizar la efectividad de la formación, se debe implementar un control periódico, que puede incluir pruebas para evaluar la comprensión de las técnicas y conceptos de ingeniería social. Estas pruebas contribuyen a asegurar que los empleados estén capacitados y alerta frente a posibles amenazas.
Buenas prácticas:
Las entidades pueden incorporar capacitación para nuevos empleados como parte del proceso de contratación por parte de Recursos Humanos. La capacitación debe describir cuáles son las medidas a tomar y cuáles no están relacionados con la seguridad. La capacitación periódica para mantener actualizados los conceptos claves refuerzan los procesos y procedimientos de seguridad esenciales que pueden olvidarse o pasarse por alto.
Las entidades deberían considerar brindar capacitación en materia de seguridad cada vez que el personal se transfiera a otras funciones en las que se pueda afectar la seguridad de los datos de cuenta desde funciones en las que no tuvo este impacto. Los métodos y el contenido de la capacitación pueden variar, según las funciones del personal.
Un buen ejemplo de esto podría ser la realización de una campaña de phishing desde la propia empresa enfocada a este grupo de personas con un nuevo rol, con la finalidad de concienciar de los nuevos riesgos y amenazas que puede tener al mismo tiempo que les permita aprender a identificar y responder a este tipo de amenazas con mayor facilidad.
La capacitación en seguridad garantiza que todos los miembros del personal comprendan los riesgos de seguridad, sepan cómo reconocer y responder a posibles amenazas, y comprendan la importancia de cumplir con las políticas de seguridad. Esto reduce la probabilidad de cometer errores humanos y mejora la resiliencia ante posibles ataques.
Conclusiones
Esta nueva versión del estándar ha incorporado una serie de cambios, otorgando especial atención a aspectos que hasta el momento no lo tenían , como son las técnicas de ingeniería social abordadas en este artículo.
Al implementar medidas técnicas y automatizadas como Link debuggers o DMARC las organizaciones pueden fortalecer su capacidad de defensa contra este tipo de ataques. Esto, a su vez, garantiza la protección de datos de cuenta de pago, la seguridad de su personal y reduce la exposición a posibles ataques.
La inversión en formación y concienciación en seguridad desempeña un papel fundamental en la prevención de ataques y en la disminución de la probabilidad de que estos tengan éxito debido a que normalmente los atacantes se marcan como objetivo el eslabón más débil en la seguridad, el ser humano. Al educar a los empleados sobre las tácticas de ingeniería social y al proporcionar formación adecuada, las organizaciones empoderan a su personal para tomar medidas proactivas en la protección de información confidencial y en la prevención de posibles brechas de seguridad. Asimismo, al establecer políticas claras en este ámbito, se refuerza aún más la capacidad de respuesta del equipo ante las amenazas que puedan surgir.
Aunque hasta ahora la adopción de estos requisitos se considera como buenas prácticas, su obligatoriedad a partir de 2025 plantea un enfoque gradual hacia la implementación de medidas de seguridad más estrictas. La forma en que estas medidas se apliquen dependerá, en gran medida, del tipo de organización que vaya a ser evaluada y del impacto que pueda suponer la actualización del estándar. Es por ello que será fundamental contar con la asesoría de una empresa especializada para una correcta implementación, hecho que pudiera conferir a la empresa una ventaja competitiva en su sector.
En resumen, las nuevas técnicas de ingeniería social representan una amenaza significativa para las empresas, ya que pueden comprometer la seguridad de los datos, la privacidad de los clientes y la reputación de la empresa. Para protegerse contra estos ataques, las empresas deben implementar medidas de seguridad sólidas, proporcionar formación a los empleados y mantenerse al tanto de las últimas tendencias en ingeniería social.
Referencias
- ¿Qué es la ingeniería social?, IBM topics 2024
Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures, Versión 3.2.1, septiembre 2022
Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures, Versión 4.0, marzo 2022
Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures, Versión 4.0.1, junio 2024
Payment Card Industry (PCI) Data Security Standard, Summary of Changes from PCI DSS Version 3.2.1 to 4.0, diciembre 2022
Defending Against Phishing & Social Engineering Attacks: A Resource Guide from the PCI Security Standards Council, 2015
US Cybersecurity & Infrastructure Security Agency - Report Phishing Sites, febrero 2018