Un hacker está vendiendo acceso a los cajeros automáticos de BBVA Bancomer. Usuarios en México deben contactar a su banco y asegurar su dinero

Especialistas en ciberseguridad afirman haber detectado a un cibercriminal vendiendo acceso a las máquinas virtuales de los cajeros automáticos de BBVA Bancomer en México. Estos cajeros virtualizados almacenan todos los datos de los clientes en servidores centrales en lugar de en el cajero automático, lo que dificulta que los criminales puedan robar estos datos, aunque esto parece indicar que esta práctica no es tan segura como creen los bancos.

En su publicación, el hacker malicioso afirma contar con la clave BIOS de los cajeros automáticos de BBVA Bancomer, por lo que sería relativamente sencillo desplegar una campaña de jackpotting contra las máquinas comprometidas.

Acorde a Bank Security, pseudónimo por el que es conocido el investigador que detectó este incidente, el actor de amenazas puso en venta el acceso a estos cajeros automáticos en un foro de dark web. La publicación indica que los cajeros usan sistemas Windows XP y Windows 7.

Los expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que algunos bancos se asociaron con vMware para producir un cajero automático sin cliente. Un componente de cliente cero hace que la pantalla del cajero automático muestre los resultados de las interacciones con una máquina virtual que se ejecuta en un servidor central en un centro de datos bancarios. No se capturan ni almacenan datos de clientes en el propio cajero automático y se han eliminado todos los dispositivos de almacenamiento de datos.

En otras palabras, el cliente cero puede transmitir las entradas de los clientes a los servidores centrales y tiene la inteligencia suficiente para mostrar el texto, los gráficos y el video que una institución financiera desea enviar a los clientes.

El hecho de que los ciberdelincuentes tengan acceso a los servidores de cajeros automáticos en México y Latinoamérica subraya la facilidad con que los adversarios extranjeros pueden utilizar esta información para encontrar vulnerabilidades o estafar a los clientes bancarios, como ha mencionado el FBI en repetidas ocasiones. Hace un mes una firma de ciberseguridad afirmó haber encontrado a un hacker que vende documentación interna de Pagofx, el servicio de transferencia internacional de dinero de Santander.

Al monitorear los foros de dark web en busca de información relacionada, los expertos encontraron al hacker responsable del incidente ofreciendo una muestra de este acceso para sus posibles compradores. Este hacker tiene buena reputación en foros de dark web, lo que podría indicarnos que la información es real.

Hace unas semanas también se descubrió que un cibercriminal estaba vendiendo los datos de más de 350 mil pacientes de COVID-19 en países como México, Perú, Colombia y Argentina. Una alerta técnica de ciberseguridad emitida en conjunto por cuatro agencias federales, incluidos el Departamento del Tesoro y el FBI, menciona que este año se ha detectado un nuevo incremento en los esfuerzos de hacking contra instituciones financieras, todo financiado por el gobierno norcoreano. Gran parte de los datos identificados por expertos  en ciberseguridad están disponibles públicamente, y casi todos los ciberdelincuentes compran y venden regularmente en plataformas de dark web.

Aunque nadie tiene certeza alguna sobre la autenticidad de las publicaciones en foros de dark web, no es imposible que los grupos cibercriminales logren acceder a esta información, ya sea mediante sofisticadas campañas de hacking o incluso con la ayuda de actores internos, como empleados de sistemas bancarios.

Los expertos en ciberseguridad han tratado de ponerse en contacto con BBVA Bancomer, aunque no se ha recibido respuesta alguna.