ZOOM
GALERÍA
0 COMENTARIOS

La mayoría están controlados por ordenadores antiguos y sistemas operativos obsoletos

Tan fácil como hackear un cajero automático

Hace no muchos años producía todavía cierto temor la idea de comprar a través de Internet o hacer transacciones de banca electrónica. Con el tiempo y un considerable esfuerzo por establecer medidas de seguridad adecuadas, se ha asentado la confianza del usuario en lo virtual; un avance tecnológico que parece haber descuidado uno de los (todavía) grandes aliados de nuestra vida financiera: el cajero automático.

Durante el pasado congreso Security Analyst Summit 2016 que organiza Kaspersky Lab se hicieron algunas demostraciones que deberían ponerle los pelos de punta a los bancos y a los usuarios, y es que resulta terriblemente fácil hackear un cajero automático. La especialista en pruebas de penetración de Kaspersky Lab, Olga Kotechova, probó cómo las vulnerabilidades de estas máquinas permiten que la práctica del jackpotting entre los ciberdelincuentes (hacer que los cajeros dispensen billetes incontroladamente) sea cada vez más frecuente.

Según la compañía de seguridad, esto se debe a una serie de defectos de concepto que aún no se han solucionado:

  • Por muchos subsistemas industriales que tenga un cajero automático, detrás de cada terminal hay, habitualmente, un ordenador convencional y un sistema operativo anticuado.

  • En el caso de los cajeros controlados por Windows XP, la falta de soporte técnico lo hace vulnerable frente a ataques que nunca llegan a parchearse.

  • También el software de los cajeros es vulnerable. Según Kaspersky Lab se pueden encontrar reproductores de flash desactualizados con más de 9.000 bugs conocidos a sistemas de control en remoto.

  • A la hora de fabricar estos terminales se suele considerar que operan siempre en condiciones normales y sin errores de funcionamiento, por eso no suelen tener antivirus ni autenticaciones de la aplicación que gestiona la salida de efectivo.

  • Se da por sentado que al no haber dinero en una parte del cajero no es necesario preocuparse por su seguridad. Así es que el esfuerzo se pone en la protección física del dinero mediante complejos blindajes o bloqueos, mientras que el acceso al ordenador que lo controla todo es relativamente fácil, y sólo lo separa del criminal una fina carcasa de plástico o de metal.

  • Los módulos de los cajeros se suelen conectar mediante sistemas estándar como USB y puerto serie, lo que no quita que se pueda acceder a ellos incluso a distancia.

  • También especifica Kaspersky Lab que, dado lo fácil y barato que es usar Internet, las entidades financieras conectan a través de la red sus cajeros a los centros de procesamiento. Muchos de estos bancos no son conscientes de que sus terminales aparecen en el motor de búsqueda Shodan, desde donde se puede acceder a infinidad de sistemas sólo con el usuario “admin” y la clave “1234”, lo que prueba una vez más la falta de seguridad de estas máquinas.

¿Y ahora qué?

La protección de los cajeros pasaría, según la empresa de seguridad, por replantear todas las medidas de seguridad actuales, tanto de software como de hardware, y proteger también toda la infraestructura de red. Además de que los bancos sean más rápidos a la hora de reaccionar ante estos ataques, ya que las oportunidades de los cibercriminales en las condiciones actuales son muchas, y no las están desaprovechando precisamente.

Hacerse con un cajero sería tan sencillo como crear un malware e instalarlo en el sistema para sacar dinero, como ya ha ocurrido con el troyano Tyupkin, que sólo acepta comandos en franjas concretas de la noche del domingo al lunes, con lo que los delincuentes pueden robar efectivo de los cajeros infectados a placer. También es posible hackear los terminales usando un pequeño ordenador conectado al cajero por USB, tal y como demostraron en el congreso los especialistas de Kaspersky Lab.

Si los ataques directos sobre el cajero han causado pérdidas a los bancos, uno en particular, llevado a cabo por el grupo criminal Carbanak logró hacerlo a través de Internet con consecuencias realmente desastrosas. Los hackers podían hacer todo tipo de operaciones online sin necesidad de acceder físicamente al hardware del cajero. En el caso de estos criminales, consiguieron hacerse con los ordenadores clave de las entidades financieras y enviaron comandos a los cajeros automáticos durante dos años, obteniendo un nada despreciable botín de 1.000 millones de dólares.

No comments yet.

Deja un comentario