Pruebas de penetración en cajeros mostraron resultados alarmantes para los bancos
Los cajeros automáticos son vulnerables a una serie de técnicas de ataque básicas que permitirían a cualquier hacker con conocimientos y recursos mínimos robar miles de dólares en efectivo.
Esto lo asegura una firma de seguridad informática y forense digital cuyos investigadores han analizado más de 20 modelos diferentes de cajeros automáticos, encontrando que casi todos muestran ser vulnerables a los ataques de acceso local o de red que permitirían a los grupos criminales realizar estas operaciones fraudulentas.
En total el estudio realizó pruebas de penetración en los sistemas de 26 máquinas de diversos fabricantes y proveedores de servicios. Entre los resultados más relevantes que encontraron los expertos en forense digital se encuentran:
- 15 de estas máquinas ejecutaban Windows XP
- 22 eran vulnerables a la técnica de ‘falsificación de red’ en la que un atacante se conecta localmente al puerto LAN de la máquina bancaria y realiza transacciones fraudulentas. Este proceso toma alrededor de 15 minutos en completarse
- 18 ATMs eran vulnerables a los ataques de ‘black box’ donde un atacante conecta físicamente un dispositivo al cajero y lo engaña para que expulse el dinero
- 20 modelos de cajeros pueden ser forzados a salir del modo kiosco a través de una conexión USB o PS/2. Desde allí, un atacante podría acceder al sistema operativo subyacente de la máquina y ejecutar comandos adicionales
- 24 carecían cifrado de datos en el disco duro, lo que permite a un hacker que haya tenido acceso a la unidad extraer cualquier dato almacenado, además de información de la configuración de la máquina
A grandes rasgos, la investigación encontró que la mayoría de las medidas de protección utilizadas por los cajeros para prevenir robos o alteraciones eran muy endebles o prácticamente inútiles, y cualquier persona que se proponga comprometer una de estas máquinas podría hacerlo en menos de una hora.
“La mayoría de las veces, los mecanismos de seguridad son un obstáculo muy simple para los hackers; durante la evaluación encontramos al menos una forma de esquivar la seguridad en casi todos los dispositivos analizados”, dijeron los investigadores.
“Dado que muchos bancos tienden a usar la misma configuración en un gran número de cajeros automáticos, un ataque exitoso en un solo cajero automático puede replicarse fácilmente a mayor escala, incrementando la complejidad del problema”.
Una de las principales recomendaciones que los expertos en forense digital del Instituto Internacional de Seguridad Cibernética han hecho a los bancos es reforzar la seguridad física de las máquinas. Al asegurar físicamente los gabinetes para bloquear el acceso a cualquier hardware ajeno al cajero, muchas de las técnicas utilizadas por los hackers podrían frustrarse.
Además, los investigadores recomiendan que los bancos se mantengan al tanto del registro y el monitoreo de los eventos de seguridad en sus redes.
Si bien muchos de estos ataques físicos no ocurren frecuentemente en la realidad – dadas las sospechas que genera que una persona permanezca en un cajero durante 10 minutos o más – el informe destaca la vergonzosa falta de seguridad de los cajeros automáticos, especialmente cuando un atacante logra acceder al software del cajero.
En un reciente evento de hacking, un investigador explicó diversos métodos para abordar las vulnerabilidades de los cajeros. Aunque muchos consideraron que este tipo de ataques eran imposibles, estos errores de seguridad fueron solucionados después de que el investigador amagara con revelarlos públicamente.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad