Dos vulnerabilidades día cero críticas encontradas en cajeros automáticos

Un equipo de especialistas en forense digital ha reportado el hallazgo de dos importantes vulnerabilidades día cero en algunos cajeros automáticos ampliamente utilizados en E.U., entre otros territorios. De ser explotadas, estas fallas podrían permitir a un hacker robar dinero en efectivo y extraer información confidencial de los usuarios.

Los expertos Trey Keown y Brenda So, de la firma de seguridad Red Balloon, descubrieron estas fallas en los cajeros fabricados por la compañía Nautilus Hyosung America, que cuenta con amplia presencia en toda América del Norte, en especial en E.U.

Para encontrar las vulnerabilidades los expertos en forense digital sólo tuvieron que obtener acceso a la red donde se encontraba un cajero comprometido; gracias a esto, los expertos lograron demostrar que era posible obtener control total del cajero y eludir la detección.

Las vulnerabilidades afectan el sistema de control remoto de los cajeros, al igual que al software que controla los dispositivos periféricos de las máquinas; acorde a los expertos, es realmente fácil acceder a una red comprometida para explotar las fallas.

Después de recibir el informe sobre las fallas, Nautilus publicó, junto con Red Balloon, un comunicado en el que aseguraban que las vulnerabilidades no han sido explotadas en escenarios reales. Además, los expertos mencionan que, de los 150 mil cajeros de Nautilus operando en E.U., cerca de 80 mil son vulnerables a la explotación.

Aunque la compañía cuenta con presencia en múltiples países, y es una subsidiaria de Hyosung Corp., con sede en Corea del Sur, las fallas de seguridad parecen afectar sólo a los cajeros de la compañía operados y distribuidos por su filiar en E.U.

Al parecer las fallas fueron detectadas y reportadas durante este verano; alrededor de una semana después de recibir el reporte, Nautilus anunció algunas actualizaciones de seguridad de firmware para prevenir la explotación de la falla, mencionan los expertos en forense digital.

Todos los socios comerciales de la compañía fueron advertidos sobre las fallas de seguridad con el fin de que actualizaran sus cajeros a la brevedad. 

Aún no está claro qué avance muestra la instalación de estos parches de seguridad, pues este proceso requiere que un técnico se presente personalmente en cada cajero posiblemente comprometido. Al respecto, Ang Cui, fundador y CEO de Red Balloon, considera poco probable que la compañía pueda actualizar el firmware de todos sus cajeros, pues puede que ni siquiera cuenten con personal para hacerlo, además de que las nuevas medidas de seguridad también requerirán actualizaciones en el futuro. Por otra parte, el fabricante especificó que, por razones de seguridad no es posible aportar mayores detalles sobre las vulnerabilidades y los exploits.

Acorde a los expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que esta información podría ser realmente útil para un hacker o estafador, pues es casi una lista de los cajeros automáticos más expuestos a ciberataques. Muchas veces la necesidad de acceder físicamente a un dispositivo comprometido reduce las posibilidades de explotación de una vulnerabilidad, no obstante, los expertos señalan que todas las fallas encontradas en esta investigación pueden ser reportadas de forma remota, lo que incrementa un poco la seriedad de estos reportes.