Caída en terminales de POS: qué se sabe hasta ahora y la advertencia de Fiserv a comercios

La caída de las terminales de POS de la empresa Fiserv, de la red Geocom, paralizó hace dos semanas los pagos con plásticos en unos 10.000 comercios. Con el paso de los días, la causa establecida parece haber sido un ciberataque, al tiempo que la empresa envió distintas advertencias a los comerciantes, aunque todavía no expuso un informe detallado sobre el incidente. Además, desde el Banco Central del Uruguay (BCU) evitan dar más detalles acerca de este asunto, al alegar la reserva de las diligencias realizadas.

Según informó El País y confirmó Montevideo Portal, las terminales de POS de Geocom tuvieron un incidente de ciberseguridad, de ransomwere, que provocó la encriptación de los sistemas.

Por su parte, según supo Montevideo Portal, días después de este ciberataque hubo distintos clientes a los que su tarjeta de crédito les fue bloqueada por intento de fraude. Distintos bancos consultados declinaron realizar comentarios al respecto para esta nota. Asimismo, ante la consulta, el BCU rechazó ampliar acerca de lo acontecido y sus consecuencias.

El BCU, a través de su Área de Comunicación, se limitó a comentar que “la empresa puso formalmente en conocimiento del Banco Central del Uruguay la ocurrencia de un evento el día viernes 6 de octubre” y que, a partir de allí, la institución inició “el análisis acorde a lo previsto en la normativa vigente”. “Como todo proceso de estas características, es de carácter reservado”, respondió el BCU a través de su Área de Comunicación.

Montevideo Portal incluyó dentro de sus consultas al BCU si a la institución le habían reportado casos de tarjetas canceladas a raíz de este incidente, si se había detectado la filtración de datos o si ya había consecuencias detectadas, pero la entidad no respondió de forma concreta al respecto.

Desde los bancos siguen el incidente registrado en las terminales de POS con inquietud, dijeron fuentes vinculadas al sector financiero. Las compañías esperan que les sea entregado lo antes posible un informe forense sobre lo sucedido, al que todavía no han tenido acceso. Según dijeron los consultados, la celeridad de este informe es imprescindible para saber si las entidades deben tomar medidas con sus clientes.

Hasta ahora, desde Fiserv señalaron que no hay datos comprometidos.

La empresa envió este lunes una alerta a los comerciantes que tienen sus POS mediante un correo electrónico titulado: “¡Atención! Medidas de seguridad para tu terminal de pago”.

“Nadie de nuestro equipo está realizando visitas con el objetivo de resetear o modificar tus terminales para devoluciones o actualizaciones de pago. En caso de que alguna visita sea necesaria por cualquier tema relacionado al funcionamiento de tu terminal, serás avisado y el personal técnico se deberá presentar correctamente. A su vez, podrás verificar la visita llamando a nuestro teléfono de atención al comercio”, dice el mensaje al que accedió Montevideo Portal.

En su comunicación con los clientes, la empresa insiste en que solo el comerciante o el personal autorizado puede manipular la terminal. “Si te sugieren un cambio de equipo, antes de entregarlo o cambiarlo, comprobá el proceso con tu ejecutivo o comunicate con Fiserv”, agrega.

Desde la Agencia de Gobierno electrónico y Sociedad de la Información (Agesic) dijeron a Montevideo Portal que la empresa todavía no reportó ningún incidente, aunque no están obligados a hacerlo. Sin embargo, esto cambiará al menos para algunas organizaciones, ya que en la Rendición de Cuentas el gobierno incluyó un artículo para obligar a determinados actores privados a informar de manera “inmediata”.

El texto señala que los actores públicos y privados que estén involucrados en “sectores críticos” para el país deberán entre otras cosas “informar de forma completa e inmediata la existencia de un potencial incidente de ciberseguridad, de conformidad con los criterios establecidos por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática, y poner a disposición toda la información que le sea requerida por este”. El articulado también estableció la creación de un comité de ciberseguridad, así como de un registro de incidentes de ciberseguridad, que será administrado por Agesic.

El asunto sí fue reportado ante la Unidad Reguladora y de Control de Datos Personales.

La red cayó el 6 de octubre, justo el día que se celebraba el Mc Día Feliz. “Tenemos un problema que no queríamos tener, y es que se cayó la red de pagos con tarjeta. Pero tenemos otras formas de pago hasta que se recupere. Eso no es problema nuestro, sino que es algo que sucedió en todo Montevideo, pero que se está solucionando”, dijo el director de McDonald’s en Uruguay, Pablo Díaz, al periodista Leonardo Sarro. Según supo Montevideo Portal, el servicio comenzó a restablecerse en grandes superficies, aunque hasta el domingo hubo pequeños comerciantes sin sus equipos funcionando.    

El gerente general de Geocom, Abel Días, dijo a El País que la compañía trabaja en un informe detallado sobre lo sucedido.

“No hemos detectado afectación de datos o información PCI, que refiere a la información que se procese, almacene o transmita y que esté relacionada con las tarjetas de pago, especialmente en el contexto del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago”, señaló al matutino.

El País también dio cuenta de otro de los mensajes que Fiserv emitió a sus clientes. La empresa afirmó allí que “el evento ocurrido implicó únicamente la indisponibilidad en la red, sin que se haya detectado otro tipo de afectación”.

Fiserv agregó en ese mensaje que “sufrió un evento operacional que provocó indisponibilidad en el servicio de terminales que pertenecían a su red, con afectación en el procesamiento de transacciones con tarjetas por parte de los comercios que utilizan terminales de la red Geocom, en Uruguay”.