L'esquella de la torratxa

Inicio » Tecnologia-Ciencia » Cómo hackear un cajero con un taladro y 14 euros

Cómo hackear un cajero con un taladro y 14 euros

La firma de seguridad rusa Kaspersky explica cuáles son las últimas técnicas de los ladrones de bancos: ya no hay pistolas ni mazas.

nueva-forma-atraco-dentro-cajero_ediima20170405_0836_19

La nueva forma de atraco está dentro de tu cajero

Internet ha hecho la vida más fácil a los ladrones de bancos. Atrás quedaron los tiempos en los que había que saltar por los aires la cámara acorazada o entrar a punta de pistola en la sucursal de un pueblo alejado del bullicio de la ciudad. Ahora, los criminales se lo montan mejor, son más ingeniosos, listos y rápidos. El objetivo ya no es la habitación del dinero, sino el cajero automático. Y ya sea de forma remota o física, los atracadores se las ingenian para dejarlos secos sin peligro.

Precisamente por eso muchos bancos acudieron en febrero a Kaspersky, la firma rusa de ciberseguridad. “El banco detectaba que le estaban sacando dinero y no encontrábamos nada de malware. Lo que había era un agujero del tamaño de una pelota de golf que estaba en la parte frontal del cajero ATM, tapado con una pegatina”, cuenta a eldiario.es Vicente Díaz, miembro del equipo de investigación internacional y análisis de Kaspersky.

No es una técnica muy sofisticada, pero funciona. Los criminales acceden a través del agujero a un cable “que es el que transmite las órdenes al cajero acerca de lo que tiene que hacer”, explica el analista. Una vez pirateado el terminal, la máquina de hacer dinero se materializa ante los ojos del atracador.

Lo más intrigante de todo es que tampoco es necesario contar con un equipo de última generación: “Con un sencillo dispositivo de 14 euros, que lo puedes hacer tú mismo en casa con una Raspberry Pi, puedes mandar directamente la orden”, continúa Díaz.

Desde Kaspersky no dejan claro si esta técnica también ha sido empleada en España. La firma de seguridad investiga el incidente y luego lo reporta al banco en cuestión y a la policía del país afectado. Sin embargo, Díaz explica que “los casos que hemos visto son, en su mayoría, en Europa del Este”, aunque no descarta “algún otro país europeo más occidental”.

pasa_ediima20170405_0924_19

Atracadores con mazos en un cajero automático: esto ya no pasa

Reseteando el dinero una y otra vez

En el instituto decían que abrir demasiado el grifo del dinero provoca inflación. Los atracadores no tienen que preocuparse por eso. Lejos de pararse, el cajero sigue dando billetes hasta que algo en sus circuitos hace “click” y le avisa: “Hay un momento en el cual detecta que el sistema de sacar dinero está funcionando de forma autónoma y que no está siguiendo una orden lógica, entonces se para”, explica Díaz. Pero es un mero formalismo: pasados unos minutos, el cajero se resetea, se vuelve operativo de nuevo y “lo puedes hacer todas las veces que quieras, hasta que lo vacíes”.

Aunque un agujero de tales dimensiones es bastante llamativo, los bancos que han acudido a Kaspersky saben que tienen un problema, pero no dónde se encuentra. “El agujero es lo que llama la atención, pero el banco tampoco sabe lo que está pasando exactamente”, continúa.

La firma de seguridad ya ha alertado a los cajeros ATM, que no han hecho comentarios por el momento. Según Díaz, “estos modelos de cajeros son los mismos que hay en todas partes del mundo, o sea que el ataque se podría replicar sin mucha dificultad”. Por el momento, la técnica no tiene solución, aunque la empresa que fabrica los terminales también es consciente del problema.

quedan-tiempos-robo-armada-sucursales_ediima20170405_0847_19

Atrás quedan los tiempos del robo a mano armada en las sucursales

ATMitch: malware para el efectivo

Pero el agujero del tamaño de una pelota de golf no es el único método que utilizan los atracadores para secar cajeros. También está la tecnología y más concretamente un malware llamado ATMitch. El fin es el mismo del caso anterior: que el cajero escupa cuantos más billetes, mejor.

Esta técnica es más ortodoxa y complicada, ya que requiere entrar a la red de área local del banco. En cada sucursal existe por lo menos un equipo que también está conectado al cajero automático y es precisamente este ordenador el que buscan los atracadores. “Un atacante consigue acceso al banco y una vez dentro, localiza los equipos con los que puede comunicarse”, explica Díaz. Después instala el código malicioso con el que podrá controlar el terminal a distancia y enviar “mulas” para que recojan el dinero. Cuando el cajero se queda vacío, el malware borra su rastro y pasa al siguiente ATM.

El investigador de Kaspersky rechaza dar nombres de los bancos afectados, aunque tranquiliza: “No tenemos ningún dato de víctimas en España”.  Pero la web de la compañía asegura que hay más de 40 países infectados, entre ellos el nuestro. Díaz asegura que las compañías de seguridad ya están trabajando en soluciones a implementar, pero avisa: “[Los atracadores] No están aprovechando ninguna vulnerabilidad implícita que tenga el cajero y que no haya forma de parchearla. Hoy utilizan esto, mañana utilizarán otra cosa cuando ya no les funcione”.

“Los cajeros son equipos que se han diseñado hace 10, 15 o 20 años y muchos de ellos corren con sistemas operativos obsoletos como Windows XP”, continúa el investigador. El de Kaspersky lanza un aviso a los bancos, a quienes “habría que decirles que esto se puede mantener hasta un límite”. Díaz concluye recordando que la asociación de cajeros, cuando Microsoft anunció que dejaba de actualizar el sistema operativo, “pagaron para tener todavía soporte durante los próximos años”. 

Fuente:  eldiario.es/cultura/tecnologia/privacidad/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Jaume Satorra

Jaume Satorra

El hombre no posee el poder de crear vida. No posee tampoco, por consiguiente, el derecho a destruirla. (Mahatma Gandhi)

Ver perfil completo →

A %d blogueros les gusta esto: