Así se hackea un cajero automático usando solo un teléfono inteligente

Los ciberataques contra cajeros automáticos se han convertido en una de las principales ocupaciones de los hackers maliciosos, que han conseguido realizar avances significativos en esta labor ilegal con el fin de sortear todas las protecciones implementadas por los bancos. Estos ataques han pasado por diversas etapas, desde el compromiso de la integridad física de un cajero automático hasta las complejas intrusiones en las redes bancarias, aunque los atacantes parecen estar a punto de llevar sus habilidades a un nuevo nivel.

Acorde a un reporte publicado por Wired, al menos un experto en ciberseguridad ha demostrado que es posible evadir todas las restricciones de seguridad en un cajero automático empleando solo un smartphone. Josep Rodríguez, especialista de la firma de seguridad IOActive, menciona que su método se basa en el abuso de un conjunto de fallas en sistemas de Comunicación de Campo Cercano (NFC por sus siglas en inglés), empleados para la transmisión de información por miles de implementaciones modernas, incluyendo las tarjetas de pago.

Rodríguez, que colabora con bancos y firmas tecnológicas para mejorar la seguridad de estas máquinas, demostró que es posible usar lectores NFC para desencadenar una condición de desbordamiento de búfer, un tipo de vulnerabilidad en la que se corrompe la memoria del sistema objetivo.

Esta variante de ataque existe desde hace décadas y la mayoría de los sistemas modernos cuentan con las medidas de protección adecuadas, aunque Rodríguez descubrió que es posible abusar de estas fallas en cajeros automáticos y puntos de venta (PoS) para interceptar información de las tarjetas de pago, inyectar malware e incluso realizar un ataque de jackpotting para extraer el dinero de una máquina afectada.

Lo más sorprendente de todo es que el investigador logró esto mediante el desarrollo de una app para dispositivos Android con la que puede imitar las comunicaciones entre las tarjetas de pago y el firmware del sistema NFC: “Con unos cuantos movimientos de su teléfono demostró cómo explotar algunas fallas sin corregir para comprometer la seguridad de estos sistemas, interceptando toda clase de información confidencial”, señala el reporte.

El trabajo de Rodríguez ha sido de gran utilidad para evitar que estos ataques lleguen a las comunidades cibercriminales, aunque para muchos expertos en ciberseguridad parece ridículo que estos sistemas puedan verse comprometidos de forma tan relativamente simple, siendo que los criminales apuntan frecuentemente contra cajeros automáticos y puntos de venta.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).