Las fallas de seguridad pueden detectarse en toda clase de dispositivos tecnológicos, incluso en una máquina vendedora de café. Un especialista acaba de revelar una forma de comprometer las tarjetas inteligentes en los modelos más antiguos de máquinas de café Nespresso con el fin de obtener bebidas gratis y sin límite. Polle Vanhoof, investigador de seguridad belga, menciona que esta técnica de hacking depende de la modificación de los valores almacenados en las tarjetas inteligentes.
“El proceso de descifrado de claves de seguridad y descarga del contenido de estas tarjetas es factible debido a las debilidades de seguridad inherentes a su diseño y la tecnología con la que fueron fabricadas”, menciona Vanhoof. Estas tarjetas Mifare Classic vienen incluidas en los primeros modelos de máquinas Nespresso.
Las fallas detectadas en esta tecnología han sido documentadas por más de una década, aunque nunca se habían explotado para comprometer una máquina de café; estas fallas permitirían a los actores de amenazas leer y escribir datos arbitrarios, llevando al descifrado de las claves de seguridad. Cabe mencionar que las tarjetas Mifare Classic fueron reemplazadas por la tecnología Mifare Plus, considerada mucho más segura.
“Las fallas son especialmente perjudiciales en las máquinas Nespresso debido a que las cafeteras usan esta tarjeta para almacenar el valor monetario que los usuarios introducen; es decir, un actor de amenazas puede sobrescribir el valor almacenado e ingresar un monto arbitrario, con lo que la máquina creerá que se ha insertado el monto del café”, agrega el especialista.
Aunque un sistema más desarrollado bloquearía completamente este ataque a través de una verificación del valor monetario en el sistema backend, en el caso de Nespresso este enfoque solo funcionaría si todas las tarjetas inteligentes contaran con una conexión de red, algo que parece impensable tratándose de un dispositivo de esta naturaleza. Este enfoque también requeriría que los proveedores de estas máquinas de café aprovisionen un servidor backend para administrar estas búsquedas.
El investigador presentó su reporte a la compañía, que respondió mencionando que ya se ofrecía una función de backend, además de una opción para que los clientes actualizaran a tokens de hardware más seguros. El reporte fue presentado en septiembre, por lo que Vanhoof solo esperó a que el plazo establecido por la comunidad de la ciberseguridad se cumpliera para publicar sus hallazgos. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
