Com protegir els punts de venda davant de malware i skimming

De Eduard Bardaji el 3.12.2025

ciberataque-punto-de-venta

Quan parlem de punts de venda (TPV o POS, per les seves sigles en anglès) ens referim als sistemes, maquinari i programari que permeten processar pagaments amb targeta en comerços, botigues, restaurants, etc. Aquests sistemes gestionen informació molt sensible, com les dades de la targeta (banda magnètica o xip), el titular i els detalls de la transacció. Això converteix els TPV en un blanc molt atractiu per als ciberdelinqüents.

Dues de les principals amenaces contra aquests sistemes són:

  • Malware dissenyat específcament per a POS, com BlackPOS (i altres variants), que infecta els sistemes i roba dades de les targetes quan es realitzen transaccions mitjançant tècniques com el "RAM-scraping", és a dir, capturar la informació mentre es troba temporalment a la memòria del terminal abans que s'enviï al processador de pagament.

  • Skimming, ja sigui físic, mitjançant la instal·lació de dispositius fraudulents o lectors externs acoblats al TPV, o lògic, mitjançant programari que captura dades de la targeta. En ambdós casos, l’objectiu és extreure informació que després pugui ser utilitzada per a clonacions o fraus.

Protegir un TPV implica defensar-lo tant de les amenaces de programari com de la manipulació física, o d’una combinació de totes dues.

Nueva llamada a la acción

Riscos i conseqüències d’un atac a un TPV

L’impacte d’un atac amb èxit a un punt de venda pot tenir grans conseqüències per a un negoci. En primer lloc, existeix un risc econòmic directe: les dades robades poden servir per a la clonació de targetes, compres fraudulentes o fins i tot per a la seva comercialització en mercats clandestins. Històricament, aquest tipus d’atacs ha estat una de les principals fonts de robatori massiu de dades de targetes.

A més del perjudici econòmic, hi ha un dany reputacional: els clients esperen que les seves dades bancàries es gestionin amb seguretat. Si un comerç pateix un incident, pot perdre la confiança dels clients de manera permanent.

D’altra banda, la indisponibilitat del servei de cobrament, si un atac bloqueja o inutilitza els TPV, pot paralitzar operacions, generar pèrdues per vendes no realitzades o retardades i complicacions operatives importants.

Finalment, no cal oblidar l’impacte legal o normatiu: la gestió de dades sensibles obliga a complir requisits de seguretat, i una fallada podria derivar en sancions o responsabilitats per incompliment normatiu, segons el país i la legislació aplicable.

Com protegir un punt de venda

Protegir un TPV davant de malware i skimming requereix un enfocament holístic, que combini mesures tecnològiques, operatives i físiques. A continuació, es descriuen algunes accions essencials de defensa.

Seguretat del software i de la xarxa

Una de les primeres línies de defensa és garantir que el programari del TPV estigui permanentment actualitzat. Les actualitzacions corregeixen vulnerabilitats que els atacants podrien explotar. És fonamental mantenir al dia no només l’aplicació de cobrament, sinó també el sistema operatiu, els drivers i el firmware.

Així mateix, és recomanable instal·lar programari anti‑malware o antivirus apropiat per a entorns POS, amb escanejats regulars. Això ajuda a detectar i neutralitzar amenaces abans que puguin capturar dades sensibles.

La xarxa sobre la qual opera el TPV ha d’estar clarament segmentada i protegida: l’ideal és que els sistemes de pagament no comparteixin xarxa amb la xarxa de clients (Wi‑Fi pública, convidats, etc.) i que s’utilitzin tallafocs o sistemes de control de trànsit per bloquejar accessos indeguts.

Per maximitzar la seguretat de les dades de pagament, convé que les transaccions utilitzin xifrat de punta a punta (end‑to‑end encryption, E2EE) o, si és viable, tokenització. Això significa que les dades de la targeta es transformen en tokens irreconeixibles, reduint dràsticament el valor per a un hacker fins i tot si aconsegueix interceptar-les.

D’altra banda, és clau restringir els privilegis d’accés al sistema. No tot el personal ha de tenir els mateixos permisos: l’ideal és assignar rols segons funcions, limitar accessos administratius i registrar totes les connexions i operacions importants.

Seguretat física dels terminals i prevenció de skimming

El component físic és tan important com el digital. Els terminals de pagament han d’estar fixats de manera segura, preferiblement en suports o bases amb mecanismes d’ancoratge, per evitar que puguin ser manipulats o reemplaçats sense que es noti.

És recomanable realitzar inspeccions periòdiques dels dispositius: revisar que no hi hagi parts soltes, connexions estranyes, adhesius recents, variacions en el gruix de peces o teclats sobresortints, entre altres indicis de manipulació. Algunes pràctiques inclouen l’ús de “segells de seguretat” que indiquen alteració si algú intenta obrir la carcassa.

També és útil restringir l’accés físic als terminals: només el personal autoritzat hauria de poder manipular o moure els equips. Complementar amb vigilància (càmeres de seguretat) a les zones de cobrament pot dissuadir intents de skimming físic o instal·lació de dispositius fraudulents.

Finalment, actualitzar els lectors físics: si encara s’utilitzen lectors de banda magnètica (magstripe), convé migrar com més aviat millor a lectors de xip (targetes EMV) o, encara millor, a pagaments contactless o NFC. Les tecnologies modernes de xip o pagament sense contacte dificulten notablement l’extracció de dades útils per a la clonació.

Polítiques internes, educació i bones pràctiques operatives

No n’hi ha prou amb tecnologia i maquinari. Les persones que operen els TPV (caixers, responsables, gerents, etc.) han d’estar formades en seguretat. La conscienciació sobre riscos, phishing, manipulació física o descuits és fonamental.

Cal definir polítiques clares: contrasenyes fortes i úniques, canvis periòdics, ús d’autenticació multifactor (MFA) quan la plataforma ho permeti i control estricte de qui té accés a funcions sensibles.

A més, convé portar registres i auditories periòdiques: revisar logs d’accés, transaccions, transaccions fallides, accessos administratius i qualsevol anomalia. Aquesta vigilància proactiva permet detectar patrons d’atac o comportament sospitós des de fases primerenques.

També cal comptar amb un pla de resposta davant incidents: en cas de sospita de bretxa o manipulació, saber com actuar, com aïllar el TPV, com notificar al proveïdor, com revisar la integritat del sistema i com informar els clients si calgués. Tot i que no totes les guies ho detallen, aquesta pràctica s’emmarca en l’enfocament de seguretat integral recomanat pels experts.

Avantatges d’un enfocament de seguretat integral per als TPV

Adoptar aquestes mesures no només redueix riscos, sinó que aporta múltiples beneficis estratègics a curt i llarg termini.

En primer lloc, millora la confiança del client: un comerç que comunica i demostra que protegeix els seus sistemes de pagament genera una percepció de professionalitat i seguretat. Aquesta confiança es tradueix en fidelització, repetició de compra i recomanacions.

En segon lloc, protegeix els actius del negoci, no només els diners a caixa, sinó també la seva reputació, la continuïtat operativa i la credibilitat davant de socis, proveïdors i entitats financeres. Una bretxa pot tenir conseqüències greus, no només econòmiques, sinó també reputacionals.

Implementar bones pràctiques de seguretat facilita també el compliment normatiu i regulatori, com ara respectar estàndards de seguretat de dades promoguts per organismes de la indústria de pagaments, cosa que redueix riscos legals o sancions en cas d’incident.

A més, un sistema ben assegurat ajuda a prevenir interrupcions operatives: en minimitzar el risc d’atacs amb èxit, es redueix la possibilitat de bloquejos del sistema, pèrdues de connectivitat, fraus massius o necessitat de restauracions, aportant estabilitat al negoci.

Finalment, fomentar una cultura de seguretat, la formació del personal i controls interns constants dota el negoci de resiliència. Això protegeix en el present i prepara el comerç per respondre amb agilitat a noves amenaces o canvis en l’escenari de ciberseguretat.

Protegir els punts de venda davant de malware i skimming no ha de considerar-se un complement o un luxe: és una necessitat absoluta en un context on els pagaments amb targeta són la norma i els atacants utilitzen tècniques cada cop més sofisticades, econòmiques i automatitzades.

Un enfocament efectiu requereix combinar capes de seguretat tècnica (programari, xarxa, xifrat), física (hardware, inspecció, vigilància), operativa (accessos, polítiques, formació) i organitzativa (auditories, resposta a incidents, cultura de seguretat).

Per a qualsevol comerç, invertir en aquestes mesures és invertir en credibilitat, resiliència i futur. Els costos d’implementació solen ser molt baixos comparats amb els riscos i les pèrdues potencials que un atac podria ocasionar, i cada cop més, els consumidors valoren la seguretat i la confiança tant com el preu o la qualitat del servei.

En definitiva: un TPV ben protegit és garantia no només de cobraments segurs, sinó també de confiança, continuïtat i reputació.
Article anterior
← El perill de no actualitzar els sistemes en laboratoris
Següent article
Finalitza la 4a edició del curs de ciberseguretat per a persones amb discapacitat →
Protecció de dades genòmiques en empreses biotecnològiques
proteger-datos-genomicos
Ciberseguretat

Protecció de dades genòmiques en empreses biotecnològiques

8.4.2025 3 min lectura
Atac a la traçabilitat alimentària: modificació de l’origen d’un producte
trazabilidad-alimentaria
Ciberseguretat

Atac a la traçabilitat alimentària: modificació de l’origen d’un producte

6.10.2025 3 min lectura
Estrategias de ciberseguridad para empresas del sector logístico
estrategia-ciberseguridad-sector-logistico
Ciberseguretat

Estrategias de ciberseguridad para empresas del sector logístico

5.11.2025 3 min lectura

Subscriu-te al nostre butlletí i coneix totes les novetats en tecnologia i ciberseguretat.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera