7 razones por las que es muy fácil hackear un cajero automático

Qué problema de seguridad tienen los cajeros automáticos y qué deberían hacer los bancos al res-pecto

Los cajeros automáticos siempre han estado en el punto de mira de los criminales. Antes, para atacar un cajero automático se necesitaban herramientas pesadas, como un soplete o explosivos. Sin embargo, con el auge de la era digital, todo ha cambiado. Hoy en día los criminales pueden realizar un ataque de jackpotting en un cajero automático sin necesidad de tales efectos especiales.

atm-jackpotting-featured

En el reciente congreso de SAS 2016, Olga Kochetova, una especialista en pruebas de penetración de Kaspersky Lab, explicó por qué los cajeros automáticos son tan vulnerables en su charla titulada “El malware y otras formas de realizar ataques de jackpotting en los cajeros automáticos”.

  1. En primer lugar, los cajeros automáticos son básicamente ordenadores. Se componen de una serie de subsistemas electrónicos, entre los que se incluyen algunos controladores industriales, pero siempre hay un ordenador convencional controlando el sistema del cajero.

  1. Además, lo más probable es que este ordenador cuente con un sistema operativo algo anticuado como Windows XP. Ya sabrás qué problema plantea el uso de Windows XP: ya no cuenta con el soporte técnico de Microsoft, por lo que cualquier vulnerabilidad que se encuentre tras el cese del soporte técnico se quedará sin parchear, quedando desprotegido frente a ataques de día cero. Y sin duda el sistema cuenta con MUCHAS de estas vulnerabilidades.

  1. Además, los sistemas de los cajeros automáticos cuentan con un software muy vulnerable. Desde los reproductores de flash desactualizados con más de 9.000 bugs conocidos a las herramientas de administración remota, entre otras muchas cosas.
  2. Los fabricantes de cajeros automáticos tienden a creer que estos siempre operan en “condiciones normales” y que nunca tienen errores de funcionamiento. De ahí que, no suele haber un control de la integridad del software, ni soluciones antivirus, ni autenticación de la aplicación que envía comandos al dispensador de efectivo.

  1. A diferencia de la unidad de depósito y el dispensador de efectivo, que cuentan con grandes medidas de seguridad y están totalmente blindados y bloqueados, es muy fácil acceder al ordenador de los cajeros automáticos. Su carcasa suele ser de plástico, o de un fino metal en el mejor de los casos, y está asegurada con sistemas de bloqueo demasiado simples para mantener a raya a los criminales. La lógica de los fabricantes de cajeros automáticos es la siguiente: si no hay dinero en esta parte del cajero, ¿por qué preocuparse de su seguridad?

  1. Los módulos de los cajeros automáticos están interconectados con interfaces estándar, como los puertos USB y COM. Además, a veces se puede acceder a estas interfaces a cierta distancia del cajero. Incluso si no es así, aún debemos preocuparnos por otros problemas como el mencionado anteriormente.

  1. Por naturaleza, los cajeros automáticos deben estar conectados, y siempre lo están. Dado que Internet es la forma de comunicación más económica hoy en día, los bancos lo utilizan para conectar los cajeros con los centros de procesamiento. ¡Y adivina qué! ¡Sí, se pueden encontrar cajeros automáticos en Shodan!

Teniendo en cuenta todas las cuestiones mencionadas anteriormente, los criminales tienen una gran variedad de oportunidades. Por ejemplo, pueden crear un malware, instalarlo en el sistema del cajero automático y sacar dinero. Este tipo de troyanos especialmente diseñados para los cajeros automáticos surgen continuamente. Por ejemplo, hace aproximadamente un año, descubrimos uno llamado Tyupkin.

Otra forma de hacerlo es mediante un hardware adicional conectado al cajero mediante un puerto USB. Para probarlo, Olga Kochetova y Alexey Osipov utilizaron un pequeño y barato ordenador monoplaca Raspberry Pi equipado con un adaptador wifi y una batería. Para saber qué pasa a continuación, mira el siguiente vídeo:

El ataque a través de la World Wide Web puede ser aún más peligroso. Los criminales pueden establecer centros de procesamiento falsos, o apoderarse de uno real. En este caso, pueden robar una gran cantidad de cajeros automáticos sin ni siquiera tener acceso físico a su hardware. Eso es exactamente lo que millones de hackers del grupo Carbanak lograron: tomaron el control de los ordenadores clave de las redes bancarias y enviaron comandos directamente a los cajeros automáticos.

En resumen, los bancos y los fabricantes de cajeros automáticos deberían tener más en cuenta la seguridad de los equipos bancarios. Deberían reconsiderar las medidas de protección de su software y hardware, crear una infraestructura de red más segura, etc. También es importante que los bancos y los fabricantes reaccionen más rápidamente a las amenazas y que colaboren con las autoridades policiales y las compañías de seguridad.

Consejos