7 razones por las que es tan fácil hackear un cajero automático

Los cajeros automáticos siempre han estado en la mira de los criminales. Antes, para atacar un cajero automático se necesitaban herramientas pesadas, como un soplete o explosivos. Sin embargo, con el auge de la era digital, todo caombió. Hoy en día los criminales pueden realizar un ataque de jackpotting en un cajero automático sin necesidad de tales efectos especiales.

En el reciente congreso de SAS 2016, Olga Kochetova, una especialista en pruebas de penetración de Kaspersky Lab, explicó por qué los cajeros automáticos son tan vulnerables en su plática titulada “El malware y otras formas de realizar ataques de jackpotting en los cajeros automáticos”.

1. En primer lugar, los cajeros automáticos son básicamente computadoras. Se componen de una serie de subsistemas electrónicos, entre los que se incluyen algunos controladores industriales, pero siempre hay una computadora convencional controlando el sistema del cajero.

2. Además, lo más probable es que esta computadora cuente con un sistema operativo algo anticuado como Windows XP. Ya sabrás qué problema plantea el uso de Windows XP: ya no cuenta con el soporte técnico de Microsoft, por lo que cualquier vulnerabilidad que se encuentre tras el cese del soporte técnico se quedará sin parchear, quedando desprotegido frente a ataques de día cero. Y sin duda el sistema cuenta con MUCHAS de estas vulnerabilidades.

#Microsoft is ending support for Windows XP. Learn what this means for your Kaspersky Lab products. http://t.co/j90rhV8wY3

— Kaspersky Lab (@kaspersky) January 21, 2014

3. Además, los sistemas de los cajeros automáticos cuentan con un software muy vulnerable. Desde los reproductores de flash desactualizados con más de 9,000 bugs conocidos para las herramientas de administración remota, entre muchas otras cosas.
4. Los fabricantes de cajeros automáticos tienden a creer que estos siempre operan en “condiciones normales” y que nunca tienen errores de funcionamiento. Por lo tanto, no suele haber un control de la integridad del software, ni soluciones de antivirus, ni autenticación de la aplicación que envía comandos al dispensador de efectivo.

5. A diferencia de la unidad de depósito y el dispensador de efectivo, que cuentan con grandes medidas de seguridad y están totalmente blindados y bloqueados, es muy fácil acceder a la computadora de los cajeros automáticos. Su carcasa suele ser de plástico, o de un fino metal en el mejor de los casos, y está asegurada con sistemas de bloqueo demasiado simples para mantener a raya a los criminales. La lógica de los fabricantes de cajeros automáticos es la siguiente: si no hay dinero en esta parte del cajero, ¿por qué preocuparse de su seguridad?

RT @GrzegorzBr: Dozens of banks lose millions to cybercriminals attacks #theSAS2016: https://t.co/9lOgLiRMd6 via @kaspersky

— Kaspersky Lab (@kaspersky) February 8, 2016

6. Los módulos de los cajeros automáticos están interconectados con interfaces estándar, como los puertos USB y COM. Además, a veces se puede acceder a estas interfaces a cierta distancia del cajero. Incluso si no es así, aún debemos preocuparnos por otros problemas como el mencionado anteriormente.

Infected USB drive idled power plant for 3 weeks http://t.co/3TwQFxNr

— Eugene Kaspersky (@e_kaspersky) January 18, 2013

7. Por naturaleza, los cajeros automáticos deben estar conectados, y siempre lo están. Dado que Internet es la forma de comunicación más económica hoy en día, los bancos lo utilizan para conectar los cajeros con los centros de procesamiento. ¡Y adivina qué! ¡Sí, se pueden encontrar cajeros automáticos en Shodan!

#Shodan shows thousands of exposed ATMs potentially vulnerable to a network attack @_endless_quest_ #TheSAS2016 pic.twitter.com/9E3SSYwG89

— Eugene Kaspersky (@e_kaspersky) February 9, 2016

Teniendo en cuenta todas las cuestiones mencionadas anteriormente, los criminales tienen una gran variedad de oportunidades. Por ejemplo, pueden crear un malware, instalarlo en el sistema del cajero automático y sacar dinero. Este tipo de troyanos especialmente diseñados para los cajeros automáticos surgen continuamente. Por ejemplo, hace aproximadamente un año, descubrimos uno llamado Tyupkin.

Otra forma de hacerlo es a través de un hardware adicional conectado al cajero mediante un puerto USB. Para probarlo, Olga Kochetova y Alexey Osipov utilizaron una pequeña y barata computadora monoplaca Raspberry Pi equipada con un adaptador WiFi y una batería. Para saber qué pasa a continuación, mira el siguiente video:

El ataque a través de la World Wide Web puede ser aún más peligroso. Los criminales pueden establecer centros de procesamiento falsos, o apoderarse de uno real. En este caso, pueden robar una gran cantidad de cajeros automáticos sin ni siquiera tener acceso físico a su hardware. Eso es exactamente lo que millones de hackers del grupo Carbanak lograron: tomaron el control de las computadoras clave de las redes bancarias y enviaron comandos directamente a los cajeros automáticos.

Full report on the #Carbanak APT is now live http://t.co/KRmjD1GhyL via @Securelist pic.twitter.com/5OMzJE0DgS

— Kaspersky Lab (@kaspersky) February 16, 2015

En resumen, los bancos y los fabricantes de cajeros automáticos deberían tener más en cuenta la seguridad de los equipos bancarios. Deberían reconsiderar las medidas de protección de su software y hardware, crear una infraestructura de red más segura, etc. También es importante que los bancos y los fabricantes reaccionen más rápido a las amenazas y que colaboren con las autoridades policiales y las compañías de seguridad.