Un investigador de seguridad informática demuestra una serie de ataques a cajeros automáticos.
Ayer, durante una llamativa presentación en la conferencia de seguridad Black Hat en Las Vegas, un experto en seguridad informática mostró varias formas de entrar en los cajeros automáticos.
Barnaby Jack, director de investigación en IOActive Labs, hizo que el dinero en efectivo saliera de dos máquinas durante minutos y hasta el final. Después de estudiar los modelos de cuatro empresas diferentes, afirmó que "en todos los cajeros automáticos que he mirado, he encontrado una vulnerabilidad de tipo 'game over' que me permitió obtener dinero en efectivo de la máquina". Incluso ha identificado un ataque basado en internet que no requiere el acceso físico.
Se suponía que esta misma charla iba a tener lugar en la conferencia Black Hat del año pasado, aunque fue retirada en el último momento debido a la presión legal ejercida por los proveedores de cajeros automáticos en cuestión. En su presentación, que no reveló los detalles exactos de cómo realizar los ataques, Jack nombró a dos vendedores—Triton y Tranax—y señaló que había estado en contacto con ambos para solucionar los problemas.
Jack demostró los ataques contra dos cajeros automáticos que compró por internet y llevó a Las Vegas desde la sede de su empresa en San Diego. La fabricación del kit de hardware que utilizó en la demostración costó menos de 100 dólares.
En la primera parte de su presentación, demostró la forma en que un ladrón podría tener acceso físico a los cajeros automáticos fabricados por Triton. El circuito principal del dispositivo, o la placa madre, sólo está protegido por una puerta con una cerradura que es relativamente fácil de abrir (Jack fue capaz de comprar un abridor por internet). A continuación, utilizó un puerto USB en la placa para subir su propio software, que cambió la pantalla del dispositivo, reprodujo una canción, e hizo que la máquina empezase a escupir dinero.
Más tarde, llevó a cabo un ataque en el dispositivo de Tranax, que está diseñado para aceptar actualizaciones de software a través de una conexión telefónica a internet. Jack mostró que una vulnerabilidad en el software de la máquina le permitía esquivar su sistema de autenticación y entrar de forma remota.
Jack afirmó que es posible encontrar cajeros automáticos mediante el uso de un ordenador para llamar a un número de teléfono tras otro; fue capaz de localizar uno en un par de horas buscando a través de 10.000 números. Después, cualquier atacante podría explotar la vulnerabilidad de software para instalar un software de control conocido como 'rootkit'. Para retirar el dinero, el atacante debería visitar el cajero automático más tarde con una tarjeta falsa, o robar información de otros usuarios.
Jack instó a los fabricantes a mejorar la protección de los bloqueos físicos de las placas madre en los cajeros automáticos, así como a deshabilitar la capacidad de actualización de firmware de forma remota. También sugirió que el código de los dispositivos se revisara a fondo. "Quiero cambiar la idea que tienen muchas personas: creen que estos dispositivos son aparentemente impenetrables", aseguró.
Bob Douglas, vicepresidente de ingeniería de Triton, afirmó que la compañía ha desarrollado una defensa contra el ataque de Jack. El parche fue lanzado en noviembre del año pasado, aunque Douglas no pudo decir qué porcentaje de clientes lo habían aplicado. Añadió que la compañía tiene previsto revisar su código y vende cajeros automáticos con la opción de un mayor bloqueo de seguridad. Jack señaló que también ha estado en contacto con Tranax acerca de las vulnerabilidades encontradas en sus máquinas.