Fuentes de la industria financiera dicen que están viendo señales de que Dairy Queen puede ser la última cadena minorista víctima de ciberdelincuentes empeñados en robar datos de tarjetas de crédito y débito. Dairy Queen dice que no tiene indicios de que se haya producido una violación de las tarjetas en ninguno de sus miles de locales, pero la empresa también reconoce que casi todas las tiendas son franquicias y que no existe un proceso establecido por la empresa ni un requisito de que los franquiciados comuniquen los problemas de seguridad o las violaciones de las tarjetas a la sede de Dairy Queen.
Actualización, 28 de agosto, 12:08 p.m. ET: Un portavoz de Dairy Queen ha confirmado que la empresa ha recibido recientemente noticias del Servicio Secreto de EE.UU. sobre una «actividad sospechosa» relacionada con una cepa de malware de robo de tarjetas encontrada en cientos de otras intrusiones en tiendas. Dairy Queen dice que todavía está investigando y trabajando con las autoridades, y aún no sabe cuántas tiendas pueden estar afectadas.
Historia original:
La primera vez que escuché informes sobre una posible violación de tarjetas en Dairy Queen fue hace al menos dos semanas, pero no pude encontrar ningún indicio que lo corroborara, ya sea merodeando por las sombrías «tiendas de tarjetas» online o hablando con fuentes del sector bancario. En los últimos días, sin embargo, he tenido noticias de múltiples instituciones financieras que dicen estar tratando con un patrón de fraude en tarjetas que fueron utilizadas recientemente en varios locales de Dairy Queen en varios estados. También hay indicios de que estas mismas tarjetas se están vendiendo en la clandestinidad del cibercrimen.
El último informe en las trincheras vino de una cooperativa de crédito en el medio oeste de Estados Unidos. La persona encargada de la prevención de fraudes en esta cooperativa de crédito se puso en contacto para saber si había oído hablar de una brecha en Dairy Queen, afirmando que la institución financiera había detectado fraudes en tarjetas que habían sido utilizadas recientemente en media docena de locales de Dairy Queen en su estado natal y alrededores.
Según la cooperativa de crédito, más de 50 clientes habían sido víctimas de una ventisca de fraudes con tarjetas solo en los últimos días tras utilizar sus tarjetas de crédito y débito en locales de Dairy Queen -algunos tan lejanos como Florida- y el patrón de fraude sugiere que los locales de DQ se vieron comprometidos al menos desde principios de junio de 2014.
«Hoy estamos recibiendo una avalancha», dijo el gerente de fraude el martes por la mañana sobre la actividad de fraude que se remonta a las tarjetas de los miembros utilizadas en varios locales de Dairy Queen en las últimas tres semanas. «Estamos recibiendo todo tipo de casos de fraude de miembros que tienen copias falsas de sus tarjetas que se utilizan en tiendas de dólar y tiendas de comestibles.»
Otras instituciones financieras contactadas por este reportero han visto fraudes recientes en tarjetas que fueron todas utilizadas en locales de Dairy Queen en Florida y varios otros estados, incluyendo Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee y Texas.
El viernes 22 de agosto, KrebsOnSecurity habló con Dean Peters, director de comunicaciones de la cadena de comida rápida con sede en Minneapolis. Peters dijo que la compañía no había oído ningún informe de fraude con tarjetas en locales individuales de DQ, pero subrayó que casi todos los locales de Dairy Queen eran de propiedad y gestión independientes. Cuando se le preguntó si DQ tenía algún tipo de requisito de que sus franquiciados notificaran a la empresa en caso de una violación de la seguridad o un problema con sus sistemas de procesamiento de tarjetas, Peters dijo que no.
«En este momento, no existe tal política», dijo Peters. «Les ayudaríamos si se pusieran en contacto con nosotros por una brecha, pero hasta ahora no hemos sabido de ninguno de nuestros franquiciados que hayan tenido algún tipo de brecha».
Julie Conroy, directora de investigación de la empresa de asesoría Aite Group, dijo que las empresas de ámbito nacional como Dairy Queen deberían tener absolutamente políticas de notificación de brechas para los franquiciados, aunque sólo sea para proteger la integridad de la marca y la imagen pública de la empresa.
«Sin duda se trata de una cuestión de protección de la marca», dijo Conroy. «Esto se remonta al eterno desafío con todos los pequeños comerciantes. Incluso en el caso de empresas como Dairy Queen, donde la empresa matriz es enorme, cada uno de los establecimientos individuales son esencialmente tiendas familiares, y muchas de estas tiendas siguen sin pensar que son un objetivo para este tipo de fraude. Por extensión, la nave nodriza está centrada en pastorear un montón de gatos en forma de miles de franquicias, y no están pensando que todas estas tiendas son objetivos para los ciberdelincuentes y que deberían tener algún tipo de política para toda la empresa al respecto. De hecho, las marcas franquiciadas que tienen ese tipo de política son más la excepción que la regla».
¿DEJA VU OTRA VEZ?
La situación que parece estar desarrollándose con Dairy Queen recuerda a los informes similares del mes pasado de múltiples bancos sobre el fraude de tarjetas rastreado en docenas de locales de Jimmy John’s, una cadena de tiendas de sándwiches a nivel nacional que también es casi en su totalidad propiedad de franquiciados. Jimmy John’s ha dicho que está investigando las denuncias de infracción, pero hasta ahora no ha confirmado los informes de infracción de tarjetas en ninguna de sus más de 1.900 tiendas en todo el país.
El aviso del DHS/Servicio Secreto.
Los rumores de una brecha en las tarjetas que afecta a al menos una parte de las 4.500 tiendas nacionales de Dairy Queen, gestionadas de forma independiente, se producen en medio de las advertencias cada vez más claras del El Departamento de Seguridad Nacional y el Servicio Secreto, que la semana pasada afirmaron que más de 1.000 negocios estadounidenses habían sido atacados por software malicioso diseñado para robar datos de tarjetas de crédito de los sistemas de caja registradora.
En esa alerta, las agencias advirtieron que los hackers han estado escaneando las redes en busca de sistemas de puntos de venta con capacidades de acceso remoto (piense en LogMeIn y pcAnywhere), y luego instalando malware en los dispositivos de puntos de venta protegidos por contraseñas débiles y fáciles de adivinar. La alerta señalaba que al menos siete vendedores/proveedores de puntos de venta confirmaron que habían tenido varios clientes afectados.
Alrededor del momento en que se emitió la alerta del Servicio Secreto, UPS Stores, una subsidiaria de United Parcel Service, dijo que había escaneado sus sistemas en busca de signos del malware descrito en la alerta y que había encontrado brechas de seguridad que podrían haber conducido al robo de los datos de crédito y débito de los clientes en 51 franquicias de UPS en todo Estados Unidos (alrededor del 1 por ciento de sus 4.470 centros franquiciados en todo Estados Unidos). Por cierto, la forma en que UPS manejó la divulgación de esa brecha -señalando claramente las tiendas individuales afectadas- debería ser un modelo para otras empresas que luchan con brechas similares. Continue reading →