Image Credits: Victor J. Blue/Bloomberg / Getty Images

En 2010, el fallecido Barnaby Jack, un investigador de seguridad de renombre mundial, hackeó un cajero automático en directo en la conferencia Black Hat engañando al cajero para que escupiera un chorro de billetes de dólar. La técnica recibió el apropiado nombre de “jackpotting”.

Una década después de la exitosa demostración de Jack, los investigadores de seguridad presentan dos nuevas vulnerabilidades en los cajeros automáticos Nautilus, aunque de forma virtual, gracias a la pandemia de coronavirus.

Los investigadores de seguridad Brenda So y Trey Keown, de la empresa de seguridad Red Balloon, con sede en Nueva York, afirman que su par de vulnerabilidades les permitieron engañar a un popular cajero automático autónomo, que suele encontrarse en las tiendas y no en los bancos, para que dispensara dinero en efectivo a su antojo.

Un pirata informático tendría que estar en la misma red que el cajero, lo que dificultaría el lanzamiento de un ataque con éxito. Pero sus hallazgos ponen de manifiesto que los cajeros automáticos suelen tener vulnerabilidades que permanecen latentes durante años, en algunos casos desde que se construyeron por primera vez.

Barnaby Jack, el difunto investigador de seguridad al que se le atribuyen los primeros ataques de “jackpotting” a cajeros automáticos. Ahora, 10 años después, dos investigadores de seguridad han encontrado dos nuevos ataques de robo de dinero en cajeros automáticos. Crédito: YouTube

So y Keown dijeron que sus nuevas vulnerabilidades se dirigen al software subyacente del cajero automático Nautilus, una versión de Windows de hace una década que ya no recibe soporte de Microsoft. Para empezar, la pareja compró un cajero automático para examinarlo. Sin embargo, al contar con poca documentación, el dúo tuvo que aplicar ingeniería inversa al software interno para entender cómo funcionaba.

La primera vulnerabilidad se encontró en una capa de software conocida como XFS -o Extensiones para Servicios Financieros- que el cajero utiliza para comunicarse con sus diversos componentes de hardware, como el lector de tarjetas y la unidad dispensadora de efectivo. El fallo no estaba en el propio XFS, sino en la forma en que el fabricante del cajero automático implementaba la capa de software en sus cajeros. Los investigadores descubrieron que el envío de una solicitud maliciosa especialmente elaborada a través de la red podía activar el dispensador de efectivo del cajero automático y vaciar el dinero que había en su interior, explicó Keown a TechCrunch.

La segunda vulnerabilidad se encontró en el software de gestión remota del cajero automático, una herramienta incorporada que permite a los propietarios gestionar su flota de cajeros automáticos actualizando el software y comprobando cuánto dinero queda. La activación del fallo permitiría a un pirata informático acceder a la configuración de un cajero vulnerable.

So dijo a TechCrunch que era posible cambiar el procesador de pagos del cajero por un servidor malicioso controlado por un pirata informático para desviar los datos bancarios. “Al apuntar un cajero automático a un servidor malicioso, podemos extraer los números de las tarjetas de crédito”, dijo.

Bloomberg informó por primera vez de las vulnerabilidades el año pasado, cuando los investigadores comunicaron en privado sus hallazgos a Nautilus. Unos 80.000 cajeros automáticos de Nautilus en Estados Unidos eran vulnerables antes de la corrección, informó Bloomberg. Un portavoz de Nautilus no quiso confirmar la cifra.

Los ataques a los cajeros automáticos con éxito son raros, pero no inéditos. En los últimos años, los hackers han utilizado diversas técnicas. En 2017, se descubrió un grupo activo de jackpotting que operaba en toda Europa, obteniendo millones de euros en efectivo.

Más recientemente, los hackers han robado software propietario de los fabricantes de cajeros automáticos para construir sus propias herramientas de jackpotting.

Envía consejos de forma segura a través de Signal y WhatsApp al +1 646-755-8849 o envía un correo electrónico cifrado a: [email protected]