Cómo hackear un cajero con un taladro y 14 euros

Internet ha hecho la vida más fácil a los ladrones de bancos. Atrás quedaron los tiempos en los que había que saltar por los aires la cámara acorazada o entrar a punta de pistola en la sucursal de un pueblo alejado del bullicio de la ciudad. Ahora, los criminales se lo montan mejor, son más ingeniosos, listos y rápidos. El objetivo ya no es la habitación del dinero, sino el cajero automático. Y ya sea de forma remota o física, los atracadores se las ingenian para dejarlos secos sin peligro.

Precisamente por eso muchos bancos acudieron en febrero a Kaspersky, la firma rusa de ciberseguridad. “El banco detectaba que le estaban sacando dinero y no encontrábamos nada de malware. Lo que había era un agujero del tamaño de una pelota de golf que estaba en la parte frontal del cajero automático, tapado con una pegatina”, cuenta a eldiario.es Vicente Díaz, miembro del equipo de investigación internacional y análisis de Kaspersky.

No es una técnica muy sofisticada, pero funciona. Los criminales acceden a través del agujero a un cable “que es el que transmite las órdenes al cajero acerca de lo que tiene que hacer”, explica el analista. Una vez pirateado el terminal, la máquina de hacer dinero se materializa ante los ojos del atracador.

Lo más intrigante de todo es que tampoco es necesario contar con un equipo de última generación: “Con un sencillo dispositivo de 14 euros, que lo puedes hacer tú mismo en casa con una Raspberry Pi, puedes mandar directamente la orden”, continúa Díaz.

Desde Kaspersky no dejan claro si esta técnica también ha sido empleada en España. La firma de seguridad investiga el incidente y luego lo reporta al banco en cuestión y a la policía del país afectado. Sin embargo, Díaz explica que “los casos que hemos visto son, en su mayoría, en Europa del Este”, aunque no descarta “algún otro país europeo más occidental”.

Reseteando el dinero una y otra vez

En el instituto decían que abrir demasiado el grifo del dinero provoca inflación. Los atracadores no tienen que preocuparse por eso. Lejos de pararse, el cajero sigue dando billetes hasta que algo en sus circuitos hace “click” y le avisa: “Hay un momento en el cual detecta que el sistema de sacar dinero está funcionando de forma autónoma y que no está siguiendo una orden lógica, entonces se para”, explica Díaz. Pero es un mero formalismo: pasados unos minutos, el cajero se resetea, se vuelve operativo de nuevo y “lo puedes hacer todas las veces que quieras, hasta que lo vacíes”.

Aunque un agujero de tales dimensiones es bastante llamativo, los bancos que han acudido a Kaspersky saben que tienen un problema, pero no dónde se encuentra. “El agujero es lo que llama la atención, pero el banco tampoco sabe lo que está pasando exactamente”, continúa.

La firma de seguridad ya ha alertado a los cajeros, que no han hecho comentarios por el momento. Según Díaz, “estos modelos de cajeros son los mismos que hay en todas partes del mundo, o sea que el ataque se podría replicar sin mucha dificultad”. Por el momento, la técnica no tiene solución.

ATMitch: malware para el efectivo

malwarePero el agujero del tamaño de una pelota de golf no es el único método que utilizan los atracadores para secar cajeros. También está la tecnología y más concretamente un malware llamado ATMitch. El fin es el mismo del caso anterior: que el cajero escupa cuantos más billetes, mejor.

Esta técnica es más ortodoxa y complicada, ya que requiere entrar a la red de área local del banco. En cada sucursal existe por lo menos un equipo que también está conectado al cajero automático y es precisamente este ordenador el que buscan los atracadores. “Un atacante consigue acceso al banco y una vez dentro, localiza los equipos con los que puede comunicarse”, explica Díaz. Después instala el código malicioso con el que podrá controlar el terminal a distancia y enviar a alguien para que recoja el dinero por él. Cuando el cajero se queda vacío, el malware borra su rastro y pasa al siguiente cajero.

El investigador de Kaspersky rechaza dar nombres de los bancos afectados, aunque tranquiliza: “No tenemos ningún dato de víctimas en España”. Pero la web de la compañía asegura que hay más de 40 países infectados, entre ellos el nuestro. Díaz asegura que las compañías de seguridad ya están trabajando en soluciones a implementar, pero avisa: “[Los atracadores] No están aprovechando ninguna vulnerabilidad implícita que tenga el cajero y que no haya forma de parchearla. Hoy utilizan esto, mañana utilizarán otra cosa cuando ya no les funcione”.

“Los cajeros son equipos que se han diseñado hace 10, 15 o 20 años y muchos de ellos corren con sistemas operativos obsoletos como Windows XP”, continúa el investigador. El de Kaspersky lanza un aviso a los bancos, a quienes “habría que decirles que esto se puede mantener hasta un límite”. Díaz concluye recordando que la asociación de cajeros, cuando Microsoft anunció que dejaba de actualizar el sistema operativo, “pagaron para tener todavía soporte durante los próximos años”.