1 abr 2016

Por qué hackear un cajero automático es sencillo

Siempre han estado en el punto de mira de los delincuentes, pero si antes se necesitaban pesadas herramientas ahora es mucho más sencillo forzarlos.

Sistemas operativos anticuados, software desactualizado o un complejo acceso al depósito y dispensador de billetes (que suelen estar blindados y bloqueados) pero sencillo al ordenador, son algunas de las vulnerabilidades que presentan los cajeros automáticos. Así, si hace años era complicado "atacarlos" y lograr hacerse con su botín, ahora, con la era digital, los delincuentes pueden hacerlo con unos simples pasos.

Así lo ha afirmado Olga Kotechova, especialista en pruebas de penetración de Kaspersky Lab, durante el congreso Security Analyst Summit 2016. Kotechova demostró también que los cajeros automáticos son muy vulnerables y que los ataques jackpotting, que consiguen que los cajeros dispensen billetes descontroladamente, están a la orden del día.
Por ello, desde Kaspersky Lab han recopilado las siete razones que demuestran lo sencillo que es hackear cajeros automáticos:
  1. Un cajero automático está compuesto por subsistemas electrónicos con controladores industriales. Sin embargo, tras los terminales hay un ordenador totalmente convencional que controla el sistema, en muchos casos con un sistema operativo anticuado.
  2. Si el cajero funciona con Windows XP, ya no recibirá el soporte técnico de Microsoft con lo que cualquier vulnerabilidad que sufra se quedará sin parchear, quedando desprotegido frente a los ataques de los hackers.
  3. Los sistemas de los cajeros cuentan con un software vulnerable, desde reproductores de Flash sin actualizar, y con más de 9.000 bugs conocidos, hasta herramientas de administración remota.
  4. Los fabricantes de estos terminales suelen pensar que los cajeros siempre operan en condiciones normales y que no tienen errores de funcionamiento. Por ello, en muchos casos, los cajeros no cuentan con antivirus, ni con autenticación de la aplicación que se encarga de envíar comandos al dispensador de efectivo.
  5. Si una parte del cajero no contiene dinero ¿por qué preocuparse de su seguridad? Lamentablemente, esto es lo que piensan la mayoría de fabricantes de cajeros. Así, acceder al depósito y dispensador de billetes es una tarea complicada ya que suelen estar blindados y bloqueados. Sin embargo, el acceso al ordenador del cajero es bastante sencillo. Las medidas de seguridad no son suficientes para detener a los cibercriminales, ya que el ordenador está protegido únicamente por una carcasa de plástico o un fino metal.
  6. Los módulos de los cajeros automáticos suelen estar conectados con interfaces estándar, normalmente a través de puertos USB y COM (puerto serie). Sin embargo, muchas veces se puede acceder a distancia a la interfaz.
  7. Dado que Internet es la forma de comunicación más económica hoy día, los bancos usan la Red para conectar los cajeros automáticos a sus centros de procesamiento. Sin embargo, muchos bancos no saben que sus terminales aparecen en el motor de búsqueda Shodan. Este site permite a cualquiera encontrar una gran variedad de sistemas conectados sólo con la palabra "admin" como nombre de usuario y "1234" como contraseña, quedando así demostrada la poca seguridad de estos dispositivos.
Con todas las vulnerabilidades descritas, los criminales tienen muchísimas facilidades para atacar a los cajeros automáticos. Por ejemplo, los ciberdelincuentes pueden crear un malware e instalarlo en el sistema para sacar dinero. Es el caso de Tyupkin, un troyano que sólo acepta comandos en franjas concretas de la noche del domingo al lunes y que permite a los delicuentes robar efectivo en las máquinas infectadas. Esta red de delincuentes fue desmantelada por Europol a principio de año.

Además de la instalación de troyanos y archivos maliciosos, los cibercriminales pueden hackear los cajeros mediante un hardware conectado vía un puerto USB. Los analistas de Kaspersky Lab, Olga Kochetova y Alexey Osipov, utilizaron un pequeño ordenador para demostrar cómo los ciberdelincuentes pueden hacerse fácilmente con el dinero del cajero y nos lo enseñan en este vídeo:

Sin embargo, el más peligroso de todos es el ataque a través de Internet. Los criminales son capaces de establecer centros de procesamiento falsos, o apoderarse de uno real y hackear los cajeros automáticos sin necesidad de acceder físicamente al hardware. Así fue como actuó el grupo criminal Carbanak, que logró controlar los ordenadores clave de varias entidades financieras y enviaron comandos a los cajeros automáticos. Gracias a ello, durante dos años se hicieron con un botín de 1.000 millones de dólares.

Por todo ello, desde Kaspersky Lab aconsejan a los fabricantes de cajeros automáticos, así como a las entidades financieras, reconsiderar las medidas de protección de su software y hardware, además de crear una infraestructura de red más segura. Asimismo, recomiendan que tanto bancos como fabricantes reaccionen más rápidamente ante las amenazas y que colaboren con las autoridades policiales y las compañías de seguridad.

Fuente: TicBeat

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!