Dos ‘hackersespañoles demuestran lo sencillo que es desvalijar un cajero

Cajero automático

Dos expertos españoles en seguridad informática han desarrollado una herramienta capaz de descubrir vulnerabilidades en cajeros automáticos hasta acceder a lo más hondo del sistema, donde es posible introducir comandos para, among other things, robar el dinero, sustraer números de cuenta o códigos PIN.

Como parte de su labor de auditoría, que consiste en encontrar vulnerabilidades para que los bancos puedan corregirlas, han descubierto lo sencillo que podría llegar a resultar para un cibercriminal, si consigue acceso al sistema, ir superando las distintas barreras del cajero hasta llegar a ese punto. However, el robo de dinero no es lo que más les alarma.

Pero llevar a cabo esta investigación no ha sido sencillo. Hace unos meses, Garrote y Ródenas decidieron dar el salto definitivo y hacerse con un auténtico cajero. Uno como los que usamos a diario, para poder inspeccionarlo y conocer mejor su mecanismo. However, tal y como relataron en el congreso de seguridad Rooted CON, que se celebró la pasada semana en Madrid, no fuera tarea fácil, ya que la compra de cajeros por parte de particulares se mueve en una suerte de limbo legal.

Después de un conato de compra de un cajero chino, que acabaron cancelando por la poca transparencia de la transacción, estos dos entusiastas consiguieron hacerse en febrero con un par de máquinas que les vendió un proveedor turco. “Tener un cajero nos permite desarrollar aplicaciones específicas de auditoría con total libertad y sin límite de tiempo”, detallan.

Su trabajo se basa en esquivar las protecciones del sistema. Cada vez que consiguen saltarse una medida de seguridad, aprenden sobre ella y pueden dar consejos sobre cómo mejorarla. Lamentablemente, ese conocimiento adquirido no suele transmitirse entre investigadores, de forma que a menudo es necesario comenzar de cero (o casi) en cada auditoría. Para solucionar este problema, Garrote y Ródenas buscaron una forma de simplificar el proceso y comenzaron a desarrollar un ‘software’ capaz de localizar y de utilizar esos agujeros de seguridad de forma automática.

“Vimos la necesidad de centralizar las diferentes pruebas sobre ATMs [cajeros automáticos] para que el siguiente compañero que tuviera que auditar partiera de esa batería de pruebas como base y no tuviera que reinventar la rueda”, señalan. Así nació TLOTA, el programa todavía en fase ‘betaque les ha permitido sortear las protecciones de los dispensadores de dinero.Una vez ejecutado, este ‘software’ es capaz de saltarse las barreras de seguridad por sí mismo, hasta llegar, For example, a dispensar dinero, algo que ya han podido comprobar en varias pruebas. However, podemos estar tranquilos. El programa está en buenas manos y no implementa métodos de ocultación ni persistencia, por lo que basta con cancelar el proceso para que deje de funcionar. “ Es una herramienta para auditoria, no un ‘malware’. El ‘softwaredebe ser ejecutado conscientemente”, remarcan.

Los expertos señalan que el código final de TLOTA se escribió en pocas horas, una vez que decidieron recopilar todas las piezas de programas que tenían sueltos para llevar a cabo diferentes pruebas. In addition, se trata de “un ‘softwarevivo, en constante proceso de ampliación y mejora”.

Una vez que ha superado los obstáculos hasta llegar a las capas más bajas del sistema, TLOTA está programado para enviar los comandos que el cajero espera recibir para realizar ciertas acciones (For example, sacar dinero), sin que sea necesario que en la capa más alta (la que ve el usuario en la pantalla de la máquina) se introduzca el PIN o se pulsen los botones que darían esa misma orden.

Aunque visualmente lo más impactante a la hora de ejecutar este programa es que el cajero, si no está debidamente protegido, dispensará dinero como muestra inequívoca de la toma de control de la terminal, también podría ser programado con otros objetivos. “Se puede llevar a cabo el robo de tarjetas, de PIN, etcétera, con el mismo esfuerzo técnico y código, simplemente cambiando el código del comando a enviar”, explican.

But, ¿es realmente tan fácil hacerse con el control de un cajero? ¿Bastaría con ejecutar un ‘malware’ que funcionara de forma similar a TLOTA? Aunque es cierto que muchos de estos cajeros funcionan con sistemas operativos anticuados que facilitan la tarea, lo cierto es que para un atacante real sería un poco más complejo. Antes de ejecutar su herramienta, un delincuente tendría que obtener acceso al sistema, algo que los auditores ya tienen.

Según explican los expertos, los cajeros pueden estar conectados con su banco a través de la red corporativa de la sucursal, si son los típicos que se encuentran en la fachada, o directamente a través de internet si son terminales situadas en lugares como una estación de metro o un centro comercial (por eso mismo, estos últimos es recomendable evitarlos en la medida de lo posible).

Por ello, su infección podría producirse de una forma similar a la de cualquier otro ordenador corporativo o doméstico. “Desde un técnico que utiliza internet en ese ordenador para poder instalar el último parche o leer su correo corporativo, o simplemente mediante algún gusano que explote algún fallo para el que es vulnerable y que esté moviéndose en dicha red”, concretan Ródenas y Garrote. “También hay casos en los que los técnicos infectan los cajeros para poder delinquir”.

On the other hand, también puede suceder que ya haya un ‘malware’ controlando el ordenador de un cajero sin que nadie lo sepa. Tal vez haya caído en las garras de un cibercriminal como parte de una red de ordenadores zombis (las famosas ‘botnets’) y solo se descubra que se trata de un cajero automático cuando el control de esos equipos cambie de manos, por ejemplo a través de alguna transacción en la internet oscura. Aunque el comprador tenga fines algo más inofensivos (For example, llevar a cabo una campaña de ‘spam’), al descubrir que se trata de un dispensador de dinero podría decidir cambiar de planes.

A pesar de que no sea tan sencillo introducirse en un cajero, los ataques y el robo de efectivo y de cuentas no son solo escenarios hipotéticos. Ya se han dado casos en diversos puntos del globo. Cobalt, For example, fue un ‘malwaredetectado en 2016, distribuido por toda Europa y parte de Asia, que utilizaba un sistema de propagación mediante campañas de ‘phisingy con el que los delincuentes informáticos expulsaban dinero de cajeros que era recogido por mulas. ADPIN, otro ‘softwaremalicioso localizado en Europa y Asia y descubierto por primera vez en 2014, infectaba los cajeros mediante un CD que los atacantes introducían en las terminales.

“Green Dispenser, que apareció en septiembre de 2015 en México, mostraba un mensaje de ‘fuera de servicio’ pudiendo vaciar el cajero al introducir un código en concreto en el teclado PIN”, añaden Ródenas y Garrote. In addition, este ‘malwaredisponía de forma seguro para eliminarse y no dejar rastro, dificultando mucho las tareas de investigación.

Fountain: El Diario

Leave a Reply

Your email address will not be published. Required fields are marked *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity