Fallas en los controladores usados por los cajeros automáticos y puntos de venta hacen que sea fácil robarles todo el dinero

El robo a cajeros automáticos es un problema cada vez más complejo debido a la evolución en los métodos empleados por los criminales y, acorde a especialistas en seguridad de la información, los controladores inseguros o maliciosos son uno de los principales factores de riesgo en estos ataques.

En un reporte elaborado por expertos de la firma Eclypsium, se menciona que el problema de estos controladores puede ser analizado enfocándose en dos factores principales:

  • Un controlador deficientemente diseñado podría ser empleado por hackers maliciosos para obtener control sobre el kernel de Windows y el firmware del dispositivo subyacente. Desde hace años los criminales han empleado malware para implantar backdoors en los sistemas vulnerables, lo que les permite generar persistencia y desplegar ataques posteriores
  • No hay un método universal para evitar que los sistemas Windows carguen controladores defectuosos cuando han sido identificados. La tecnología HVCI de Microsoft puede proteger a los dispositivos más recientes, aunque los dispositivos lanzados anteriormente deben confiar en las listas negras instaladas de forma manual por los administradores

Los especialistas en seguridad de la información mencionan que las vulnerabilidades explotadas se basan en un método integrado en el software de los controladores, que es casi un estándar en la industria. Los avances más recientes en la investigación de esta conducta criminal muestran que la explotación de estas fallas sigue presentándose incluso en entornos ampliamente controlados, como cajeros automáticos en instalaciones seguras e incluso contra dispositivos de puntos de venta (POS).

Como se ha mencionado antes, los criminales pasaron de irrumpir la integridad física de los cajeros automáticos para extraer todo el dinero posible a desplegar ataques basados en seguridad lógica, engañando al software en las máquinas para aprobar retiros de efectivo ilegítimos. Esta variante de ataque, conocida popularmente como “jackpotting“, involucra el uso de malware, herramientas de hacking y ataque directo contra los componentes del cajero automático.   

La investigación más reciente de Eclypsium se enfoca en un cajero automático de la firma Diebold Nixford, en el que los expertos detectaron un componente vulnerable; cabe aclarar que este cajero demostró ser mucho más seguro que versiones anteriores de la misma compañía e incluso que otras opciones de los competidores.

Acorde a los expertos en seguridad de la información, este cajero es especialmente sensible a una vulnerabilidad que aún no ha sido explotada en escenarios reales, pero que podría afectar a múltiples dispositivos, ya sean cajeros automáticos, puntos de venta, entre otros equipos. Para realizar la investigación, los expertos adquirieron una computadora interna idéntica a la utilizada por el cajero analizado (SWAP-PC 5G i5-4570 AMT TPMen).

FUENTE: Eclypsium

La computadora interna de un cajero automático se conecta con todos sus componentes, como el lector de tarjetas, el teclado, interfaces de red y los contenedores de efectivo. Al analizar la computadora a detalle, los expertos notaron que un controlador estaba proporcionando acceso arbitrario a los puertos x86 I/O del sistema; a pesar de que estas son funciones limitadas en el contexto del cajero automático, es posible emplearlos para obtener acceso PCI arbitrario, lo que conduciría a un ataque contra los dispositivos conectados a PCI. Además, los investigadores descubrieron que el fabricante usa este controlador para actualizar el firmware del BIOS en el cajero, lo que podría indicar una ruta para la modificación del firmware e instalación de un kit de hacking.

Aunque esta nueva investigación se centra sólo en un modelo de cajero automático, los expertos en seguridad de la información mencionan que es altamente probable que este controlador sea empleado por otros modelos fabricados por Diebold Nixdorf y otras compañías. Esto también afecta las soluciones de puntos de venta basadas en sistemas Windows.  

La compañía fue notificada en tiempo y forma y reconoció el reporte poco después. Las actualizaciones para corregir este problema ya fueron lanzadas y se insta a los administradores de máquinas afectadas a instalar las correcciones lo antes posible.  

En este caso las actualizaciones fueron lanzadas tan rápido como fue posible. No obstante, en muchos otros casos es muy difícil corregir las vulnerabilidades en cajeros automáticos, principalmente debido a que estos dispositivos están altamente regulados y esto retrasa el desarrollo de los parches de seguridad. En muchos casos, los cambios en el dispositivo requieren que el proveedor repita el proceso de certificación, un proceso que sin dudas demora mucho. En consecuencia, los fabricantes podrían demorar hasta un año en actualizar un dispositivo inseguro.

Está plenamente demostrada la posibilidad de que algún conductor vulnerable sea explotado para obtener acceso de bajo nivel al hardware y sistemas informáticos de un cajero automático, por lo que es necesario que todos los involucrados en este proceso establezcan los mecanismos necesarios para abordar de la mejor forma estos inconvenientes. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.