Los especialistas de ciberseguridad afirman haber encontrado a un ciberdelincuente que vende acceso a maquina virtuales de cajero automáticos de varios bancos de México como Banamex, Banorte, BBVA Bancomer, Inbursa y banco IXE. El fabricante de cajeros automáticos Diebold y NCR han utilizado máquinas virtuales para proteger los datos de los clientes bancarios mediante la virtualización. Los cajeros automáticos virtualizados almacenan todos los datos de los clientes en servidores centrales, en lugar del cajero automático en sí, lo que dificulta que los delincuentes roben datos de las máquinas. Pero parece que esta solución es tan segura como creen los bancos ya que ciberdelincuente está vendiendo acceso de estas máquinas virtuales.
Según investigador de ciberseguridad German que descubrió esta venta explica que el actor de amenazas puso en venta las máquinas virtuales de ATM’s de varios Bancos Mexicanos como Banamex, Banorte, BBVA Bancomer, Inbursa y banco IXE. Y los cajeros de estos bancos están usando Windows XP y Windows 7.
¿Pero estos bancos están haciendo lo suficiente para proteger datos y dinero de clientes?
Según los expertos de ciberseguridad del Instituto Internacional de Seguridad cibernética, los bancos se asociaron con VMware para producir un cajero automático sin cliente. Un componente de cliente cero inaccesible hace que la pantalla del cajero automático muestre los resultados de las interacciones con una máquina virtual que se ejecuta en un servidor central en un centro de datos bancarios. No se capturan ni almacenan datos de clientes en el propio cajero automático y se han eliminado todos los dispositivos de almacenamiento de datos. El cliente cero puede transmitir las entradas de los clientes a los servidores centrales y tiene la inteligencia suficiente para mostrar el texto, los gráficos y el video que una institución financiera desea enviar a los clientes.
Los incidentes de brecha de seguridad sin duda son muestra de lo vulnerable que son los sistemas informáticos, recordando las más de 55 bancos que han sido víctimas recientes de estas amenazas en América Latina.
Justo la semana pasada un delincuente cibernético estaba vendiendo datos de 350 mil pacientes de COVID de varios países como México, Perú, Colombia y Argentina. Los base de datos tenía datos personales de salud y confidenciales. Una alerta técnica de ciberseguridad emitida en conjunto por cuatro agencias federales, incluidos el Departamento del Tesoro y el FBI, menciona que este año se ha detectado un nuevo incremento en los esfuerzos de hacking contra instituciones financieras por el gobierno de norcoreano después de un periodo de casi nula actividad. Gran parte de los datos identificados por expertos de ciberseguridad están disponibles públicamente, y casi todos los ciberdelincuentes compran y venden regularmente en plataformas de dark web.
Pero el hecho de que los ciberdelincuentes tiene acceso a los servidores de cajeros automático en México y pusieron a la venta subraya la facilidad con que los delincuentes y adversarios extranjeros pueden utilizar esta información para encontrar vulnerabilidades o estafar a los clientes financieros, como ha mencionado el FBI en repetidas ocasiones. Hace un mes una firma de ciberseguridad afirmó haber encontrado a un hacker que vende documentación interna de Pagofx, el servicio de transferencia internacional de dinero de Santander.
Por otra parte, los especialistas en ciberseguridad que detectaron este material señalan la facilidad con la que los hackers pueden acceder a estos datos: “Una enorme cantidad de datos de clientes bancarios está disponible para los ciberdelincuentes y adversarios extranjeros; en las manos equivocadas, esta información se puede utilizar para robar millones de cuentas bancarias y estafar a millones de usuarios a través de las redes sociales, phishing y estafas de mensajes de texto y telefónicos”.
Los accesos a máquinas virtuales de cajeros automáticos parecen ser de los bancos, por lo que los investigadores deducen que el hacker pudo robar estos acceso comprometiendo algún servidor de banco o servidor perteneciente al proveedor de los bancos que está en común entre Banamex, Banorte, BBVA Bancomer, Inbursa y banco IXE. El último año, Banco de México y Banorte también se metieron en muchos problemas cuando un grupo de hackers logró hackear el sus sistemas informáticos.
Al monitorear los foros de dark web en busca de información sobre amenazas, los expertos encontraron al hacker, quien estaba ofreciendo los acceso y ofreció muestra de acceso para que compradores puedan validar. Este hacker tiene buena reputación en foros de darkweb y por eso puede ser cierto que la venta es real. Los expertos en ciberseguridad utilizaron identidades ficticias para obtener más información del hacker, incluyendo los detalles de una billetera en línea de Bitcoin para cobrar el pago.
Los expertos en ciberseguridad de IICS mencionan que las carteras de Bitcoin, instalaciones de almacenamiento virtual para la criptomoneda más utilizada, muestran públicamente las transacciones pero no las identidades de quienes las realizan. Según los expertos, si los bancos , pueden trabajar junto con las agencias gubernamentales para rastrear los pagos a esta billetera. La misma billetera seguramente se usa en otras estafas e incidentes de hacking.
La amplia disponibilidad de documentos y bases de datos confidenciales no es una problemática nueva, pero la idea de que un caché tan grande esté a la venta durante la pandemia, cuando todo el mundo depende de la banca móvil y en línea, subraya lo fácil que sería para los agentes malintencionados causar serios problemas. Los expertos en ciberseguridad dijeron que el hacker no ha mencionado el precio ya que primero quiere validar que el comprador no es de alguna agencia de seguridad.
Los accesos a la venta permitirían a los delincuentes cibernéticos atacar a estos bancos y los clientes que estén utilizando estos servicios podrían verse afectados, incluyendo a los clientes empresariales.
Nadie tiene certeza sobre la autenticidad de la publicación encontrada en dark web, pero los investigadores han intentado contactar los bancos para confirmar la autenticidad de los datos filtrados y no recibimos respuesta.
En México y otros países de Latinoamérica, muchas personas sufrieron estafas telefónicas y han perdido millones. Estas personas incluso han conformado un grupo de Facebook para demandar a las empresas y muchas de estas personas han afirmado que los estafadores también tienen los detalles de los clientes cuando llaman y parece ser una llamada al centro de llamadas de una institución gubernamental real como el que se muestra en el video arriba.
Estamos investigando más sobre la filtración de accesos de cajeros automáticos y estaremos actualizando la nota pronto.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad