Cajeros automáticos vulnerables ante los ciberdelicuentes

ATM-jackpotting-featured

La irrupción de la era digital ha obligado a las entidades bancarias a sofisticar cada vez más sus sistemas de seguridad, estimulando las competencias de sus directores de ciberseguridad y continuidad de negocio. En momentos como los que vivimos, no se puede bajar la guardia con la protección de datos, resulta imprescindible modificar constantemente las estrategias de ciberseguridad con el fin de evitar las consecuencias derivadas de vulneración de defensas empresariales. Sobre todo de la banca.

Sin embargo – indican en  Kaspersky  Lab- , “la desactualización de los sistemas operativos y la falta de protección del ordenador interno, ponen en riesgo la integridad de muchos de estos terminales”.

Los hechos hablan solos. En esta apuesta por generar estructuras más sólidas, las entidades parecen haber olvidado un flanco que podría generarles más de un dolor de cabeza: los cajeros automáticos.  No olvidemos que estos han sido siempre blanco de ataque criminales. Si antes se precisaban herramientas pesadas para poder hacerse con un botín, actualmente, en la era digital, los delincuentes pueden hacerse con el botín con unos simples pasos.

Durante el pasado congreso Security Analyst Summit 2016 de Kaspersky Lab, Olga Kotechova, especialista en pruebas de penetración de Kaspersky Lab, demostró que los cajeros automáticos son muy vulnerables y que los ataques jackpotting (que consigue los cajeros dispensen billetes sin control), están a la orden del día.

Sintetizando esta ponencia, Kaspersky Lab ha reunido las principales razones que demuestran lo sencillo que resulta para un delincuente avezado, hackear cajeros automáticos:

1.-  Un cajero automático está compuesto por subsistemas electrónicos con controladores industriales. Sin embargo, detrás de estos terminales hay un ordenador convencional que controla el sistema, en la mayoría de los casos, con un sistema operativo anticuado.

2.-  Si el cajero cuenta con Windows XP, ya no recibirá el soporte técnico de Microsoft. Cualquier vulnerabilidad que sufra se quedará sin parchear, quedando desprotegido frente a ataques.

3.-  Los sistemas de cajeros automáticos cuentan con un software vulnerable que alberga desde reproductores de flash desactualizados con más de 9.000 bugs conocidos a herramientas de administración remota.

Hacker typing on a laptop with binary code in background

 

4.-  Los fabricantes de estos terminales suelen creer que estos siempre operan en condiciones normales y que nunca tienen errores de funcionamiento. Por ello, en muchos casos, los cajeros no cuentan con soluciones de antivirus, ni con autenticación de la aplicación que envía comandos al dispensador de efectivo.

5.-  Si no hay dinero en una parte del cajero, ¿por qué nos vamos a preocupar por su seguridad? Lamentablemente, este es el pensamiento de la mayoría de los fabricantes de de estos equipos. Acceder al depósito y dispensador de billetes es una tarea bastante complicada ya que suelen estar blindados y bloqueados. Sin embargo, el acceso al ordenador de los cajeros automáticos es bastante sencillo. Las medidas de seguridad no son suficientes para detener a los cibercriminales, pues el ordenador se encuentra protegido únicamente por una carcasa de plástico o de un fino metal.

6.-   Los módulos de los cajeros automáticos están conectados con interfaces estándar, normalmente a través de puertos USB y COM (puerto serie). Sin embargo, en muchas ocasiones se puede acceder a la interfaz a distancia.

7.-  Debido a que Internet es la forma de comunicación más económica en la actualidad, las entidades financieras utilizan la red para conectar sus cajeros automáticos a sus centros de procesamiento. Sin embargo, lo que muchos bancos no saben es que sus terminales aparecen en el motor de búsqueda Shodan. Esta web permite al usuario encontrar una gran variedad de sistemas conectados a Internet con la palabra “admin” como nombre de usuario y “1234” como contraseña, demostrando la poca seguridad de los dispositivos.

Con todas estas vulnerabilidades descritas, los criminales tienen muchísimas oportunidades para atacar los cajeros automáticos. Entre ellas, los ciberdelincuentes pueden crear un malware e instalarlo en el sistema para sacar dinero. Un ejemplo de amenaza es Tyupkin, un troyano que sólo acepta comandos en franjas concretas de la noche del domingo al lunes y que permite a los criminales robar efectivo de las máquinas infectadas. 

Pero además de la instalación de troyanos y archivos maliciosos, los ciberdelincuentes pueden hackear estos terminales mediante un hardware conectado al cajero con un puerto USB. Los analistas de Kaspersky Lab, Olga Kochetova y Alexey Osipov, utilizaron un pequeño ordenador para demostrar cómo los ciberdelincuentes pueden hacerse fácilmente con el dinero del cajero:

Sin embargo, el ataque a través de Internet es el más peligroso de todos. Los criminales pueden establecer centros de procesamiento falsos, o apoderarse de uno real y hackear los cajeros automáticos sin necesidad de tener acceso físico a su hardware. Así lo hizo el grupo criminal Carbanak: lograron hacerse con los ordenadores clave de las entidades financieras y enviaron comandos a los cajeros automáticos. En dos años, se hicieron con un botín de 1.000 millones de dólares.

Los expertos de Kaspersky Lab aconsejan a los fabricantes de los cajeros automáticos, así como a las entidades financieras reconsiderar las medidas de protección de software y hardware, además de crear una infraestructura de red más segura. Asimismo, recomiendan que bancos y fabricantes reaccionen más rápidamente ante las amenazas y que colaboren con las autoridades policiales y las compañías de seguridad.

 

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.