En 2016, por cada 100.000 habitantes del mundo había 48 cajeros automáticos. O lo que es lo mismo: uno por cada 2.083 habitantes. Son datos del Banco Mundial, que también refleja el número que había de ellos en España el mismo año: nada más y nada menos que 112 por cada 100.000 españoles, uno por cada 893 personas. Aunque Internet haya hecho algo más prescindibles las máquinas de billetes, siguen siendo parte fundamental del circuito económico.
Pero ¿qué ocurre cuando el dispositivo que materializa tu dinero posee agujeros de seguridad críticos? Es más, ¿qué pasa cuando el cajero automático corre un sistema operativo obsoleto y desactualizado que dejó de tener soporte hace cuatro años? Pues que si algo puede ser hackeado será hackeado, y los cajeros no iban a ser menos. Un informe de Positive Technologies, una firma de ciberseguridad rusa, ha estudiado 26 ATMs (del inglés, Automated Teller Machines) del Reino Unido y las conclusiones son demoledoras. El dato llamativo: el 85% de los cajeros estudiados son vulnerables a los ataques.
Reventados en menos de 15 minutos
El informe analiza las máquinas de tres compañías líderes en su sector como son NCR, Diebold Nixdorf y GRGBanking, que dieron permiso a los investigadores para intentar penetrar en los cajeros. Los ataques fueron divididos en dos categorías en función del objetivo final: hacerse con el dinero o entrar a la base de datos del sistema para sacar información de las tarjetas de crédito de los clientes.
De los 26 cajeros analizados, 15 de ellos corrían sobre Windows XP y podían ser reventados en menos de 15 minutos. Como ya vimos con los ordenadores de la central de Fukushima (Japón), los ATMs también usaban una versión de un sistema operativo que desde abril del 2014 no recibe ni soporte ni actualizaciones por parte de Microsoft. Tener una versión desactualizada de un software lo convierte en pasto de los hackers: lo vimos con WannaCry la primavera pasada, cuando el malware infectó a miles de equipos en todo el mundo que no contaban con el último parche de seguridad del sistema operativo de Microsoft.
Los investigadores de Positive Technologies también descubrieron un fallo en el protocolo ARP (del inglés, Address Resolution Protocol, protocolo de resolución de direcciones) de 22 cajeros. Esta regla es la que empareja una dirección MAC (algo así como el número de bastidor de un coche, un número único que identifica a cada equipo en Internet) con una dirección IP (la matrícula de cada coche en Internet), de tal forma que si alguien es capaz de entrar a la red y redirigir los paquetes de datos a otro sitio (lo que se conoce como un Man in the middle o ataque de intermediario), la información puede ser sustraída. Para ello es necesario que esa información viaje sin cifrar, cosa que ocurría en 24 de los 26 cajeros analizados.
Además, el 69% (18) de las máquinas fueron hackeadas a través de un ataque de caja negra (en inglés, black box) en 10 minutos o menos. Aquí, son los atacantes quienes llevan un dispositivo con ellos (normalmente una Raspberry Pi o una placa madre parecida) para engañar al cajero y reordenarle los comandos que tiene que ejecutar. En abril del año pasado ya contamos cómo algunos hackers utilizaban esta técnica y un taladro para acceder al cableado del sistema y así hacerse con el control del mismo.
La firma de ciberseguridad también alerta de que 20 cajeros de los 26 analizados son vulnerables a través de los puertos USB o PS/2 (donde, en las CPU antiguas, se conectaba el teclado y el ratón). “El siguiente nivel del ataque puede ser la automatización total o estar relacionado con la conexión de un dispositivo remoto”, dicen los investigadores. Una vez ahí, los hackers solo tienen que entrar al sistema operativo, salir del modo kiosko y mandar comandos a través de sus dispositivos para sacar el dinero o copiar la información de las tarjetas.
La seguridad, “una mera molestia para los atacantes”
Los de Positive Technologies mencionan en el informe varias vulnerabilidades de día cero, encontradas en los antivirus que utilizan los cajeros y que afectan a las marcas GMV Checker, Kaspersky, SafenSoft y McAfee. Los datos de las tarjetas de crédito de los 26 cajeros analizados fueron robados por los investigadores colocando skimmers (falsos lectores de tarjetas de crédito que, en vez de leer, almacenan los datos y los envían a los dispositivos del atacante).
La muestra analizada, aunque pequeña (representa al 0,04% de los cajeros que pululan por el Reino Unido) sí da una idea de lo importante que es mantener estos equipos parcheados con las últimas actualizaciones. “Más a menudo que no, los mecanismos de seguridad son una mera molestia para los atacantes [...] Dado que los bancos tienden a utilizar la misma configuración en un gran número de cajeros automáticos, un ataque exitoso a un solo cajero automático puede ser fácilmente replicado a mayor escala”, explican los investigadores.
Entre las medidas de seguridad aconsejadas para los bancos, destacan dos: localizar los cajeros en lugares con fuertes medidas de seguridad y monitorizar y almacenar constantemente cualquier alerta que se presente “para reaccionar rápidamente a las amenazas que surjan”, concluyen.