.

Computación

Una serie de defectos deja a los cajeros en manos de los hackers

1

Una presentación llevada a cabo durante una conferencia habría logrado desvelar defectos en algunos cajeros.

  • por Robert Lemos | traducido por Francisco Reyes (Opinno)
  • 08 Julio, 2009

Barnaby Jack, investigador de seguridad en Juniper, el gigante de redes informáticas, tenía previsto hackear un cajero automático en directo durante la Conferencia de Seguridad Black Hat en Las Vegas a finales de este mes. Sin embargo su presentación, diseñada para demostrar el grado de inseguridad de varios cajeros, llamó la atención no sólo de los profesionales de la seguridad sino también de la industria financiera, y después de ser presionados por los fabricantes de cajeros, Juniper canceló la presentación la semana pasada, citando que las vulnerabilidades descubiertas aún no habían sido corregidas.

“La vulnerabilidad de la que Barnaby iba a hablar tenía muchas consecuencias, no sólo para el fabricante de cajeros afectado en concreto, sino para otros fabricantes y—en última instancia—el público,” escribió Brendan Lewis, director de relaciones corporativas con los medios sociales de Juniper en un comunicado de prensa publicado en el blog oficial de la compañía la semana pasada. “Si hubiéramos publicado los descubrimientos de la investigación antes de que la compañía hubiese tenido tiempo de arreglar el problema, habría resultado potencialmente arriesgado para sus clientes. Y esto es algo que no queremos que ocurra.”

Según afirma una fuente cercana a los detalles de la noticia, la presentación se habría centrado en desvelar las vulnerabilidades que se dan en los aparatos que ejecutan el sistema operativo Windows CE, incluyendo algunos cajeros. Aunque la presentación se canceló para permitir al fabricante que tuviese más tiempo para reparar las vulnerabilidades, Juniper se puso en contacto con la compañía hace casi ocho meses, afirma la fuente, que pidió que su nombre se mantuviese en secreto.

A otros expertos en seguridad no les sorprende que se descubran vulnerabilidades. Existen muchos defectos en la red de cajeros, afirma Nicholas Percoco, vice presidente senior de TrustWave, una firma de cumplimiento y seguridad de la información encargada de evaluar la seguridad de los terminales punto-de-venta, quioscos y redes de cajeros. “Es muy, muy raro que nos llegue un aparato al laboratorio—de hecho, creo que nunca ha pasado—y que no encontremos ninguna vulnerabilidad,” afirma Percoco.

Durante los últimos 12 meses, los cajeros han sido protagonistas de una serie de incidentes de seguridad de alto nivel. En noviembre de 2008, unos ladrones robaron casi 9 millones de dólares de más de 130 cajeros en pocas horas, utilizando tarjetas de nómina falsas. Este plan, que se llevó a cabo en 49 ciudades alrededor del mundo, fue posible gracias a que los hackers lograron romper la red de la firma financiera RBS WorldPay, con lo que pudieron recargar las tarjetas y extraer una media de 90.000 dólares de cada cuenta.

En enero de este año, el segundo mayor fabricante de cajeros, Diebold, avisó a sus clientes que en algunos aparatos en el este de Europa se había cargado un software malicioso capaz de robar información financiera y PINs secretos de aquellos clientes que los utilizasen. Este sigiloso programa, que al menos logró infectar 20 máquinas, permitía a los criminales imprimir los detalles de la tarjeta en los recibos del cajero y expulsar el cartucho con el dinero en efectivo, según análisis del software llevado a cabo por TrustWave.

 
“Una vez que los atacantes logran acceder a los sistemas internos, pueden campar a sus anchas,” señala Percoco. “Es dinero en efectivo, así que estamos hablando de dinero de verdad; no es como si estuvieran haciendo un cargo en una tarjeta de crédito y después tuviesen que vender lo que han comprado.”

Entre la serie de recomendaciones a sus clientes, Diebold pidió a los bancos y a los propietarios de cajeros que cambiasen de forma periódica las claves de acceso del sistema de administración, y que se asegurasen de que los firewalls estuviesen activos. Diebold cree que los atacantes tuvieron que tener acceso físico al sistema para poder cargar el software malicioso en primer lugar. “Según nos consta, este es el primer incidente relacionado con un ataque físico y la instalación de software ilegal dentro del cajero,” señala Diebold en un comunicado de prensa emitido en aquel entonces.

NCR, el suministrador de cajeros líder mundial, ha enfocado la seguridad de los cajeros a través de un sistema multi-capas. La compañía utiliza una tecnología, conocida como Solidcore, que evita que se ejecute código no autorizado en sus sistemas con Windows, y recomienda que los clientes bloqueen el sistema operativo Windows XP mediante el uso de un firewall incorporado y una red privada virtual. Entre otras características de seguridad se incluyen medidas físicas para evidenciar los intentos de robo de información de las tarjetas mediante el uso de aparatos en el cajero, así como el uso de un mecanismo para evitar que dichos aparatos lean las tarjetas bancarias, y tinta para manchar el dinero en efectivo robado.

Sin embargo, representates tanto de NCR como de Diebold negaron que ninguna de sus máquinas fuera el objetivo de la demostración de Juniper.

El sistema operativo utilizado en el sistema afectado, Windows CE, hace difícil que el problema se pueda arreglar rápidamente. Microsoft recomienda que Windows CE se utilice para “cajeros de baja gama,” mientras que Windows XP Embedded y Windows XP Professional se utilizan en cajeros con más características, según publica en un libro blanco sobre plataformas de sistemas operativos en quioscos y cajeros. Windows XP Embeddes y Windows XP Professional son más seguros puesto que son más fáciles de actualizar, afirma el gigante del software. Microsoft no respondió a nuestras peticiones para hacer comentarios acerca de la noticia.

Casi el 56 por ciento de los cajeros de Estados Unidos ejecutan algún tipo de sistema operativo Windows, y están conectados a algún tipo de red que pueda facilitar las actualizaciones, según informa TowerGroup, una asesoría financiera. El resto de dispositivos ejecutan sistemas operativos más antiguos como el OS/2 de IBM, y normalmente no tienen conexión en red. Puesto que los cajeros suelen durar aproximadamente una década o más, las máquinas más antiguas que usan OS/2 seguirán en funcionamiento hasta aproximadamente 2012, señala Nicole Sturgill, directora de investigación para canales de distribución en TowerGroup.

Sturgill cree que los cibercriminales encontrarán otros métodos para atacar a los cajeros. “Es como jugar constantemente al gato y al ratón,” señala. “No importa lo bueno que sea tu cajero: son lugares en los que se puede encontrar dinero en efectivo, así que a los criminales siempre les interesará encontrar nuevos agujeros por los que colarse.”

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. ‘Chiplets’: el arma de China en su batalla tecnológica contra EE UU

    Al conectar varios chips menos avanzados en uno, las empresas chinas podrían eludir las sanciones impuestas por el gobierno estadounidense.

  2. Esta ciudad china quiere ser el Silicon Valley de los ‘chiplets’

    Wuxi, el centro chino del envasado de chips, está invirtiendo en la investigación de ‘chiplets’ para potenciar su papel en la industria de semiconductores

  3. La computación cuántica se abre camino a través del ruido

    Durante un tiempo, los investigadores pensaron que tendrían que conformarse con sistemas ruidosos y propensos a errores, al menos a corto plazo. Esto está empezando a cambiar.

    Jay Gambetta dirige el desarrollo de los ordenadores cuánticos de IBM y lideró la iniciativa de llevar estos sistemas a la nube.