El hackeo de cajeros automáticos no es algo nuevo. Como cualquier sistema diseñado por humanos, están destinados a contener fallos, o simplemente fallar con el tiempo frente a tecnologías mejores y más rápidas. Sin embargo, a diferencia de la mayoría del hardware, los cajeros automáticos parecen ocupar un lugar especial en la imaginación de las personas que obtienen un placer enfermizo al ver dispositivos supuestamente inexpugnables abrirse de par en par como un pato asado. Al fin y al cabo, ¿quién de nosotros podría rechazar el asombroso poder de hacer que el dinero en efectivo aparezca de la nada?
Por desgracia, la mayoría de los ataques a cajeros automáticos del pasado han requerido que un atacante obtenga acceso físico a un puerto USB; un acto demasiado conspicuo a la luz del día, ya que normalmente implica destrozar alguna parte de la máquina. Esto es cierto incluso si el objetivo no es robar dinero real de dentro del cajero, sino más bien robar los detalles de la tarjeta de futuros clientes. Incluso los ataques basados en la red que se realizan con menos frecuencia, aunque de forma remota, parecen estar plagados de riesgos. Hackear un banco directamente y luego, de alguna manera, encontrar la manera de ingresar a un cajero automático en particular, requeriría, después de todo, un conjunto de habilidades más amplio, sin mencionar la necesidad de pasar desapercibido en un entorno altamente protegido.
Sin embargo, según Wired, al menos un investigador ha encontrado una manera de evitar la mayor parte de estos problemas, sacando efectivo de los cajeros automáticos como por arte de magia con un simple movimiento de muñeca. El medio informó el jueves de que Josep Rodríguez, investigador y consultor de la firma de seguridad IOActive, ha acumulado una colección de errores que afectan a los sistemas NFC, también conocidos como sistemas de comunicación de campo cercano, en los que muchas máquinas modernas confían para transmitir datos de forma inalámbrica, incluida la información de tarjetas de débito y crédito.
Rodríguez, quien fue contratado para probar legalmente máquinas para mejorar su seguridad, ha podido usar lectores NFC para activar lo que los programadores llaman un “desbordamiento de búfer” o un exceso de datos que corrompe la memoria de la máquina. Este ataque de décadas de antigüedad le ha permitido a Rodríguez explotar los cajeros automáticos y otras máquinas de punto de venta (como las máquinas de pago de las tiendas minoristas) de diversas formas: capturando información de tarjetas de pago, inyectando malware e incluso, en un caso, ganando un premio mayor en un cajero automático. Tal y como suena:
“Rodríguez ha creado una aplicación para Android que permite que su teléfono imite las comunicaciones por radio de la tarjeta de crédito y aproveche los fallos en el firmware de los sistemas NFC. Con un movimiento de su teléfono, puede explotar una variedad de errores para bloquear dispositivos de punto de venta, hackearlos para recopilar y transmitir datos de tarjetas de crédito, cambiar de manera invisible el valor de las transacciones e incluso bloquear los dispositivos mientras muestra un mensaje de ransomware”.
G/O Media may get a commission
Según Wired, Rodríguez ha mantenido sus hallazgos en secreto durante alrededor de un año, y está legalmente obligado a no revelar las identidades de ciertas empresas para las que ha trabajado. Sin embargo, molesto porque una técnica de décadas de antigüedad todavía afecta a una gran cantidad de máquinas modernas, tiene la intención de revelar más detalles técnicos en las próximas semanas en un esfuerzo por llamar la atención sobre, como dice Wired, “el estado abismal de la seguridad de los dispositivos integrados en general”.
[Wired]
