Ataques a cajeros automáticos causados por tecnología obsoleta

Los ataques a los cajeros automáticos son posibles debido problemas de software y seguridad física.

Infraestructura bancaria

 

Una investigación realizada por Kaspersky Lab reveló que es posible tener acceso de manera ilegal a casi cualquier cajero automático (ATM) y sacar dinero con o sin la ayuda de programas maliciosos, esto debido al uso de software obsoleto e inseguro, errores en la configuración de la red y a la falta de seguridad física de las partes críticas de los cajeros automáticos.

Todos son PCs que se ejecutan con versiones muy antiguas de sistemas operativos como Windows XP, haciéndolos vulnerables a infecciones con malware para PC y a ataques mediante exploits.

Asimismo, el software especial que permite que la PC del cajero automático interactúe con la infraestructura bancaria y las unidades de hardware, procesamiento de dinero y tarjetas de crédito, se basa en el estándar XFS,  tecnología antigua e insegura, creada originalmente con el fin de estandarizar el software de los cajeros automáticos para que pudiera trabajar en cualquier equipo sin importar el fabricante.

Por otro lado, la falta de seguridad física para los propios cajeros automáticos es un problema muy común para estos dispositivos, pues están construidos e instalados de tal manera que alguna otra persona puede acceder fácilmente a la PC en el interior del cajero automático o al cable de red que conecta la máquina a Internet.

Esto les permite instalar una microcomputadora programada especialmente (una caja negra) en el interior del cajero automático, la cual les dará acceso remoto al mismo, y conectar el cajero a un centro de procesamiento malicioso,  un software que procesa los datos de pago y es idéntico al software del banco. Una vez esto, los atacantes pueden emitir cualquier comando que deseen, y el cajero automático obedecerá.

Los fabricantes de cajeros automáticos pueden reducir el riesgo de ataque a los ATMs revisando el estándar XFS con énfasis en la seguridad, e introducir una autenticación de dos factores entre los dispositivos y el software legítimo; poniendo en práctica la “dispensación autenticada” para excluir la posibilidad de ataques a través de los centros de procesamiento falsos; e implementando una protección con cifrado y control de integridad de los datos transmitidos entre todas las unidades de hardware y las PCs de los cajeros automáticos.