Cómo hackear un cajero automático en menos de 5 minutos

Por
Martes 31 de octubre, 2017

A medida que nos dirigimos hacia una sociedad sin efectivo, la actualización de la tecnología de los cajeros automáticos puede no parecer una prioridad. Sin embargo, el efectivo sigue siendo la principal fuente de transacciones financieras en los mercados emergentes de América Latina.

Leigh-Anne Galloway es líder en resiliencia de seguridad en Positive Technologies, un proveedor global de soluciones de seguridad empresarial. Ante el desafío de su empresa de descubrir cuán fácil es introducirse en un cajero automático, Galloway encontró algunos resultados sorprendentes que compartió con BNamericas durante la reciente conferencia de piratas informáticos 8.8 en Santiago.

BNamericas : ¿Cómo surgió la idea de estudiar la seguridad de los cajeros automáticos?

Galloway : La compañía dejó flotar la idea de que se puede comprar los componentes de un cajero automático en el mercado gris, como eBay, y reconstruir un cajero automático que funcione. Miré la idea y pensé que era factible. Lo sorprendente fue que es más fácil comprar piezas legalmente que ilegalmente. Otra sorpresa fue que en Europa y el Reino Unido, la principal amenaza para los cajeros automáticos sigue siendo la fuerza bruta: sacar la máquina de la pared.

BNamericas : Usted logró hackear un cajero automático en menos de cinco minutos. ¿Cómo?

Galloway : es sorprendentemente fácil acceder a la computadora física. Esto se puede hacer a través del frente, que generalmente está hecho de plástico y se puede perforar y quitar. Algunos cajeros automáticos están fabricados de forma tan endeble que puedes romper parte de la fachada y luego taparla. Luego puede acceder a los periféricos de la computadora y conectar dispositivos USB. Hay algunos elementos de seguridad en la mayoría de los cajeros automáticos, pero no tantos. Hay una cosa llamada modo de kiosco, que limita el número de funcionalidades que un usuario tiene en un cajero automático, solo una pantalla. Pero es bastante fácil evitarlo al enchufar un teclado e ingresar una combinación de teclas. La mayoría de las veces, la computadora tiene un sistema operativo Windows, por lo que puede usar las teclas para navegar por el sistema de archivos.

Una vez que accedí, conecté un dispositivo USB con malware que envía comandos al dispensador de efectivo con instrucciones de expulsar el dinero. Es bastante sencillo y una táctica utilizada normalmente por los atacantes.

BNamericas : ¿No hay cámaras de seguridad?

Galloway : Curiosamente, si nos fijamos en la seguridad física de los cajeros automáticos, algunos tienen circuito cerrado de televisión y más restricciones en torno al acceso físico. Pero hay muchos cajeros automáticos que son independientes y usted puede tener acceso al área de servicio en la parte posterior, que tiene acceso directo a la computadora y al dispensador. También puede acceder a menudo a partes del equipo de red como un módem. A veces puede conectarse directamente a la red porque el equipo se encuentra justo encima del cajero automático. Entonces, hay muchos aspectos de seguridad que se pasan por alto. Son solo computadoras que se encuentran en la parte superior de una bóveda. Y no es tan difícil entrar en ellos. La parte inferior suele ser de metal y hormigón armado, mientras que la parte superior, donde está alojada la computadora, puede tener algo de metal alrededor de los lados, pero el frente es de plástico. La parte trasera tendrá una puerta bloqueada que da a la parte posterior del área de servicio, pero puedes forzar esa cerradura o sobornar a un ingeniero de servicio. Hemos visto incidentes en los que se soborna a ingenieros de servicio y permiten a los atacantes colocar malware en el cajero automático e infectar la red.

BNamericas : ¿Es posible acceder a los cajeros automáticos de forma remota?

Galloway : Sí, porque los cajeros automáticos están conectados a la red bancaria. También puedes comprometer las credenciales de VPN. Hay muchas formas de acceder a una red informática.

BNamericas : Barnaby Jack ha pirateado dos cajeros automáticos en el escenario en la conferencia Black Hat en 2010. ¿Qué ha cambiado desde entonces?

Galloway : Esa fue la primera vez que la industria de la seguridad se dio cuenta de esto. Pero no mucho ha cambiado desde entonces. Predominantemente, el 80% de los cajeros automáticos tienen sistemas operativos Windows, y la mayoría de ellos son Windows XP, que ya no cuentan con soporte de seguridad. Y como dije, puede obtener fácilmente acceso físico a la red y la computadora, por lo que no ha cambiado mucho.

BNamericas : ¿Han visto una escalada en los ataques?

Galloway : en Europa, durante la primera mitad de 2017, vimos un aumento del 300% en los ataques de blackbox en los cajeros automáticos, que es donde toma un sistema de computadora como Raspberry Pi y lo conecta a un componente del cajero automático como el dispensador para enviar comandos directamente. Obviamente, se trata de un ataque más complejo que sacar un cajero automático de una pared.

Pero realmente no hemos visto un cambio en la cantidad de pérdidas financieras por irrumpir en cajeros automáticos, por lo que el mercado realmente no va a ninguna parte. Pero algunos ataques se han vuelto más complejos.

BNamericas : ¿Su investigación pasará a los bancos?

Galloway : La compañía para la que trabajo es bastante activa al hablar con los bancos sobre los estándares de seguridad. Hay algunos problemas que todavía existen, como ATMs que usualmente no caen bajo los departamentos de seguridad de TI. A menudo pertenecen a un departamento completamente diferente y, a veces, son mantenidos por un tercero externo. También existe una gran discrepancia sobre quién es el responsable de la seguridad. Entonces, si habla con los fabricantes, su respuesta es que necesita comprar un nuevo cajero automático. Pero la realidad es que la seguridad de los cajeros automáticos está en la configuración. Un ATM que ejecute XP podría tener 10 años y podrían hacerlos mucho más seguros.

Existe algún software que se puede instalar en los sistemas operativos que permite que solo se ejecuten buenas aplicaciones, pero es muy defectuoso porque hay algunas aplicaciones de Windows que le permiten ejecutar ejecutables de terceros. Es fácil de puentear. Por lo tanto, es necesario que haya más debate sobre cómo hacerlo mejor. No hay una sola solución. La seguridad es una discusión en curso.


Acerca de Leigh-Anne Galloway

Leigh-Anne Galloway tiene 10 años de experiencia en seguridad de la información y actualmente trabaja como líder de resiliencia de seguridad en Positive Technologies.


Acerca de la compañia

Positive Technologies proporciona soluciones de seguridad empresarial para gestión de cumplimiento, análisis de incidentes y amenazas, y protección de aplicaciones.

Con experiencia en banca, telecomunicaciones, aplicaciones web y seguridad ERP, Positive Research ha ayudado a identificar y solucionar más de 250 vulnerabilidades de día cero en productos de Cisco, Google, Honeywell, Huawei, Microsoft, Oracle, SAP, Schneider Electric y Siemens, y ganándose una reputación de protección de dispositivos e infraestructuras de cajeros automáticos a centrales nucleares.