Así como progresivamente surgen nuevas soluciones para los usuarios y empresas, los cibercriminales están constantemente generando diversas trampas para vulnerar la seguridad de estos sistemas, herramientas o dispositivos.

Cada paso que dé, o lanzamiento que realice alguna firma, viene seguido de los piratas de la red, y los ciudadanos están en un continuo nuevo peligro. Así lo comprobó Kaspersky en uno de sus recientes informes, en el que develó la aparición de nuevas versiones de Prilex, un peligroso malware de origen brasilero que puede robar la información de los usuarios, credenciales bancarias y su dinero.

Básicamente, este malware opera en los PoS de pago cuando los usuarios realizan pagos contactless con sus tarjetas bancarias en el comercio. La transferencia NFC, que es la que permite la transacción sin insertar la tarjeta en un módulo, queda bloqueada y obliga a la persona a insertar el plástico en el equipo, donde está alojada la trampa. Con eso, los delincuentes pueden leer la información de la tarjeta y sustraerla, para clonar las credenciales.

Ya a principios de 2022 la empresa de seguridad había alertado del malware, pero para fines de año encontraron tres nuevas versiones de software malicioso. La información generada por los pagos sin contacto es escasa, por lo que infectar estos aparatos para que las personas deban insertar su tarjeta en la máquina es una de las medidas más eficientes para los cibercriminales, que pueden sustraer de esta manera datos de forma más directa.

Vale precisar que la incidencia no se da a nivel bancario, sino en los equipos para realizar las transacciones. En ese sentido, los infectados son específicamente “los intermediarios” entre el comercio y el pago realizado desde una cuenta en una institución financiera. Pero lo que se ve hoy en día es una evolución de la amenaza original, que comenzó infectando algunos cajeros automáticos en Brasil —superando los mil aparatos— y que se acercó en ese entonces a las treinta mil tarjetas clonadas hacia 2016.

Las primeras luces del Prilex PoS vinieron luego de su Prilex ATM, enfocado en cajeros automáticos. Estuvo muy activo en 2020, pero bajó su presencia durante dos años, hasta que recientemente se descubrieron estas tres nuevas ramas, que están muy avanzadas y tienen una alta complejidad.

Considerando que la pandemia fue uno de los impulsores del pago contactless en los comercios, es entendible que el siguiente blanco por parte de los cibercriminales fueran los propios sistemas de pago en el comercio, viendo que los usuarios cada vez usaban menos efectivo y he ahí el fortalecimiento de su método de ataque.

De esta manera, Prilex PoS se suma al las distintas técnicas de robo sigiloso que han ido al alza en el último periodo, al actuar de forma silenciosa y sin que los usuarios noten siquiera que sus datos han sido vulnerados. En más de alguna ocasión a alguien puede haberle ocurrido un error de lectura de tarjeta, o encontrarse con un sensor de un PoS que no funcione, y naturalmente opte por insertar la tarjeta. En el caso de ser un equipo “infectado”, la persona podría verse afectada. Con esto, los piratas pueden realizar transacciones “fantasmas” con las credenciales del usuario.

Prilex es el primero en el mundo en poder bloquear transferencias por pago en NFC, y el grupo homónimo detrás de este ataque ha escalado en su desarrollo, transformándolo en uno de los más avanzados de su tipo. Pero existen otro tipo de amenazas de otros países cercanos. Por ejemplo, si hace algunos meses se volvió a hablar de Prilex en Brasil y su posible expansión a las naciones colindantes, en México se habla ahora de FiXS, un malware orientado a cajeros automáticos que dio de qué hablar desde principios de febrero.

Así como en muchas otras ocasiones, la ingeniería social cumple un rol relevante en la infección de los dispositivos de pago. De acuerdo a los informes de Kaspersky, el software malicioso llega mediante un correo electrónico a las posibles víctimas, afirmándoles que existe una actualización de un servidor remoto.

Son tres elementos los que componen al ataque de Prilex. Primero está el malware en sí, que se encarga de interceptar la información de los usuarios una vez que estos insertan sus tarjetas en el módulo; luego existe un servidor externo en el que los cibercriminales administran la información sustraída —y que es el que instalan las víctimas a través del correo electrónico—; y la plataforma en la que el pirata puede ver, clonar y almacenar estadísticas.

De acuerdo al formato al que las víctimas se exponen —un correo electrónico a través del cual se les envía la falsa actualización de servidor—, se presume que el ataque está orientado a comercios menores, como bencineras, tiendas de barrio y minimarkets, entre otros, pero no se descarta que pueda llegar a comercios de mayor alcance.

La información sustraída por los piratas les facilita la creación de tarjetas clonadas y realizar transacciones como si se tratara de las credenciales originales de los usuarios. ¿Lo peor de todo? El sitio web del Grupo Prilex es público en la red y ahí comercializan su Daphne V3.0, con el que pueden reescribir y clonar tarjetas.

En su plataforma declaran: “Esta vez, seremos selectivos con las personas a las que les venderemos el software de chip EMV más actualizado del mundo. El anonimato es clave aquí, no debe haber filtraciones a las autoridades, por lo que solo los caballeros que tienen la experiencia necesaria para operar un software tan poderoso de manera silenciosa y que pueden mantener la discreción sobre ellos y nuestro negocio podrán recibir Daphne v3.0″.

Sobre Prilex en sí mismo, desde Kaspersky indican que su presencia se ha expandido hacia otros países del globo. Por ejemplo, hacia 2019 se detectó su actividad en Alemania, cuando se piratearon tarjetas de crédito Mastercard emitidas por un banco de ese país. Sustrajeron más de €1.5 millones a unos dos mil clientes. Pero eso solo en su variante ATM para cajeros automáticos y hay que esperar a ver cómo evolucionan con la implementación de sus nuevas herramientas criminales.