Los terminales de puntos de venta, también conocidos como TPV, son los dispositivos que podemos encontrar en cualquier tienda que nos permiten realizar pagos desde nuestra tarjeta de crédito y, en los más modernos, desde nuestro smartphone. Estos dispositivos manejan a diario cientos de datos bancarios de clientes, por lo que la seguridad de los mismos debe ser la prioridad tanto de vendedor como del responsable del mantenimiento del mismo, aunque esto no siempre es así.
Según un grupo de investigadores de seguridad un gran número de estos dispositivos han estado utilizando las mismas claves por defecto para el usuario administrador, usuario con permisos totales sobre los dispositivos. La contraseña de los dispositivos debe cambiarse siempre y, aunque los responsables del mantenimiento de la conocida marca de TPVs es consciente de ello confió en que los dueños de los comercios realizaran el cambio en vez de quedarse con la clave por defecto «166816«.
Esta contraseña lleva siendo utilizada durante 25 años en miles de TPVs de este fabricante, incluso otros fabricantes han utilizado la misma clave en sus productos pensando que era «única».
Las nuevas tecnologías (poder pagar con el smartphone con Google Wallet o Apple Pay, por ejemplo), nos garantizan una capa de seguridad frente a estas amenazas, sin embargo, aún quedan muchos años para que reemplacen a los métodos de pago tradicionales, por lo que aún es de vital importancia que se revise la seguridad de estos dispositivos y se cambien siempre los credenciales por defecto al igual que hacemos con un router o un ordenador.
Este fabricante, del cual no se ha facilitado el nombre, no es el único donde la clave por defecto se mantiene en los comercios. Otros fabricantes de TPVs también envían los terminales a los comercios, los configuran y siguen manteniendo los mismos credenciales por defecto (o cambiándola por otra similar como Z66816), exponiendo los equipos ante intervenciones físicas e incluso ante posible malware que pueda acceder al dispositivo utilizando la contraseña por defecto.
Cómo protegernos ante posibles fallos de seguridad en los TPVs
Para evitar ser víctimas de un posible fallo de seguridad similar a este debemos intentar pagar en efectivo siempre que podamos y, cuando no sea posible y paguemos por tarjeta, revisar que los TPVs no han sido modificados (por ejemplo con un teclado adicional) y mantener un control sobre los movimientos de nuestra cuenta y, si detectamos cualquier movimiento sospechoso, debemos acudir a nuestra entidad bancaria lo antes posible.
¿Crees que los responsables de seguridad de TPVs y otras plataformas de pago deberían prestar más atención a la seguridad?
Fuente: We Live Security