SEGURIDAD EN CAJEROS AUTOMÁTICOS “OBSOLETA”

Una reciente investigación de Kaspersky Lab detectó que el uso de software obsoleto e inseguro, errores en la configuración de la red y la falta de seguridad física en los cajeros automático (ATM), los convierte en blanco fácil de ataques.

De acuerdo con la firma de seguridad es posible tener acceso de manera ilegal a casi cualquier cajero automático en el mundo y sacar dinero con o sin la ayuda de programas maliciosos.

Durante varios años, la mayor amenaza para los clientes y los propietarios de los cajeros automáticos fueron los “skimmers”, dispositivos especiales conectados a un cajero automático con el fin de robar datos de las bandas magnéticas de las tarjetas bancarias. Pero a medida que las técnicas maliciosas han evolucionado, los cajeros automáticos se han expuesto a más peligro. En 2014, los investigadores de Kaspersky Lab descubrieron Tyupkin, uno de los primeros ejemplos ampliamente conocidos de software malicioso para cajeros automáticos, y en 2015 los expertos de la compañía descubrieron la banda Carbanak que, entre otras cosas, era capaz de sacar dinero de cajeros automáticos a través de la infraestructura bancaria comprometida. Ambos ejemplos de ataques fueron posibles gracias a la explotación de varias deficiencias comunes en la tecnología de los ATMs y en la infraestructura que les respaldaba. Sin embargo, esto es sólo la punta del iceberg.

En un esfuerzo por identificar todos los problemas de seguridad en cajeros automáticos, los especialistas en pruebas de penetración de Kaspersky Lab realizaron un análisis con base en la investigación de ataques reales y en los resultados de evaluaciones de seguridad de cajeros automáticos para varios bancos internacionales.

Software obsoleto y seguridad física deficiente

Como resultado de la investigación, los expertos han demostrado que los ataques a los cajeros automáticos son posibles debido a dos problemas principales de seguridad: software obsoleto y seguridad física deficiente.

Todos los cajeros automáticos son PCs que se ejecutan con versiones muy antiguas de sistemas operativos como Windows XP. Esto los hace vulnerables a infecciones con malware para PC y a ataques mediante exploits. En la gran mayoría de los casos, el software especial que permite que la PC del cajero automático interactúe con la infraestructura bancaria y las unidades de hardware, procesamiento de dinero y tarjetas de crédito, se basa en el estándar XFS. Esta es una especificación de tecnología bastante antigua e insegura, creada originalmente con el fin de estandarizar el software de los cajeros automáticos para que pudiera trabajar en cualquier equipo sin importar el fabricante. El problema es que la especificación XFS no requiere autorización para los comandos que procesa, lo que significa que cualquier aplicación instalada o puesta en marcha en el cajero automático puede emitir comandos a cualquier otra unidad de hardware de cajeros automáticos, incluyendo el lector de tarjetas y el dispensador de efectivo. Si el malware infecta con éxito a un cajero automático recibe capacidades casi ilimitadas en términos de control sobre dicho cajero automático; puede convertir al teclado de PIN y al lector de tarjetas en un skimmer “nativo” o simplemente dejar salir todo el dinero almacenado en el cajero automático, con solo un comando del hacker.

En muchos casos observados por los investigadores de Kaspersky Lab, los delincuentes no tienen que utilizar malware para infectar el cajero automático o a la red del banco al que está conectado. Esto es posible debido a la falta de seguridad física para los propios cajeros automáticos, un problema muy común para estos dispositivos. Muy a menudo los cajeros automáticos están construidos e instalados de tal manera que alguna otra persona puede acceder fácilmente a la PC en el interior del cajero automático o al cable de red que conecta la máquina a Internet. Al obtener incluso acceso físico parcial a los cajeros automáticos, los delincuentes potencialmente pueden:

Instalar una microcomputadora programada especialmente (una caja negra) en el interior del cajero automático, la cual les dará acceso remoto al mismo
Conectar el cajero automático a un centro de procesamiento malicioso
Un centro de procesamiento falso es un software que procesa los datos de pago y es idéntico al software del banco a pesar de que no pertenece al banco. Una vez que el cajero automático se conecta a un centro de procesamiento falso, los atacantes pueden emitir cualquier comando que deseen, y el cajero automático obedecerá.
La conexión entre los cajeros automáticos y el centro de procesamiento se puede proteger de varias maneras. Por ejemplo, utilizando una red privada virtual de hardware o software, cifrado SSL/TLS, un Firewall o MAC-autenticación, implementado en protocolos xDC. Sin embargo, estas medidas no suelen ser implementadas. Cuando lo son, a menudo están mal configuradas e incluso son vulnerables, algo que sólo podría ser descubierto durante una evaluación de seguridad del ATM. Como resultado, los delincuentes no tienen que manipular el hardware, simplemente aprovechan la falta de seguridad en la comunicación de la red entre el cajero automático y la infraestructura bancaria.

Cómo detener el problema con los cajeros automáticos

“Los resultados de nuestra investigación muestran que a pesar de que los proveedores están tratando de desarrollar cajeros automáticos con funciones de seguridad, muchos bancos siguen utilizando modelos viejos con poca seguridad y esto los deja a merced de los delincuentes que desafían activamente la seguridad de estos dispositivos. Esta es la realidad actual que hace que los bancos y sus clientes tengan enormes pérdidas financieras. Desde nuestro punto de vista, este es el resultado de una falsa creencia desde hace mucho tiempo, que los ciberdelincuentes están interesados únicamente en ataques cibernéticos contra la banca por Internet. Ellos están interesados en esos ataques, pero también ven cada vez más el valor en la explotación de vulnerabilidades de los cajeros automáticos, porque los ataques directos contra este tipo de dispositivos acorta significativamente su ruta al dinero real”, comentó Olga Kochetova, Experta en Seguridad del Departamento de Pruebas de Penetración en Kaspersky Lab.

A pesar de los problemas de seguridad mencionados anteriormente y que muy probablemente afectan a una gran cantidad de cajeros automáticos en todo el mundo, esto no quiere decir que la situación no se pueda arreglar. Los fabricantes de cajeros automáticos pueden reducir el riesgo de ataque a los ATMs mediante la aplicación de las siguientes medidas:

Es necesario revisar el estándar XFS con énfasis en la seguridad, e introducir una autenticación de dos factores entre los dispositivos y el software legítimo. Esto ayudará a reducir la probabilidad de retiros de dinero no autorizados utilizando troyanos y que los atacantes tengan control directo sobre las unidades de cajeros automáticos.

Es esencial poner en práctica la “dispensación autenticada” para excluir la posibilidad de ataques a través de los centros de procesamiento falsos.
Se debe implementar una protección con cifrado y control de integridad de los datos transmitidos entre todas las unidades de hardware y las PCs de los cajeros automáticos.

Para conocer más información sobre los retos de seguridad que enfrenta la industria financiera asiste el próximo 12 de mayo al foro organizado por Netmedia “New Banking and Financial Forum”.

Ver información original al respecto en Fuente:
tomaticos-obsoleta/