Target confirmó el viernes que los datos de los números PIN de las tarjetas de débito fueron robados en la reciente brecha de seguridad masiva, cambiando la postura anterior que los códigos no eran parte del ataque violación a la seguridad.
Sin embargo, el minorista cree que los números PIN permanecen «a salvo y seguros». En un comunicado, la portavoz de Target, Molly Snyder, dijo que los números PIN están «fuertemente codificados» y que nunca estuvieron guardados en los sistemas de Target como texto sin formato.
En otras palabras, desde el momento que un cliente ingresaba un número PIN después de deslizar una tarjeta de débito, el sistema de pagos de Target traducía ese número a un código indescifrable. Target afirma que los números PIN permanecieron codificados después de haber sido robados.
No solamente están codificados los números PIN, Target dice que los números únicamente pueden ser descifrados por el procesador de pago independiente que tiene la llave para llevar a cabo el descifrado. Esa llave es necesaria para traducir el código ininteligible de vuelta al número PIN. Target dijo que la llave no había sido robada en la brecha porque nunca existió dentro de los sistemas de la compañía.
Robo de datos en Target
Target dice que usa el Estándar de cifrado triple de datos (Triple DES, en inglés) para cifrar sus números PIN. Per Thorsheim, un consultor independiente de seguridad de contraseñas, dijo que los números PIN cifrados con el algoritmo del Triple Des podrían ser «difíciles o imposibles de descifrar», si la llave de descodificación de pagos del procesador era lo suficientemente robusta. Target declinó hacer comentarios acerca de la identidad de su procesador de pagos.
Eso significa que es muy poco probable que los ladrones fueran capaces de retirar dinero de cajeros automáticos utilizando información de las tarjetas de débito robadas. Los consumidores están protegidos de ciertos tipos de fraude por tarjeta de débito, pero los retiros en efectivo y compras realizadas con un número PIN pueden ser difíciles de revertir.
Como precaución, los clientes de Target que hicieron compras en la tienda donde ocurrió la brecha deberían de comunicarse con sus bancos para solicitar una tarjeta de reemplazo y cambiar su número PIN.
La revelación del robo de los números de PIN significa que la brecha a los sistemas de pagos de Target fue mayor de lo que se creyó al principio. Eso es común en las violaciones a los sistemas de seguridad en las tarjetas de crédito. Cuando la empresa matriz de Marshalls’ y TJ Maxx, TJX, sufrió una violación masiva a sus sistemas de seguridad en 2007, la empresa dijo al principio que 45 millones de cuentas habían sido pirateadas, pero meses después aumentó la cifra a 94 millones.
Target dice que este ataque, que tuvo lugar entre el ‘Black Friday’ (el día después del día de Acción de Gracias) y el 15 de diciembre, puso en peligro la información de pagos de 40 millones de clientes.