Futuros escenarios de ataques contra sistemas de autenticación de cajeros automáticos

Ya se ha dicho mucho sobre los actuales ciberataques contra los propietarios de cajeros automáticos. La razón del aumento incesante de ataques contra estas máquinas es simple: el nivel general de seguridad de los modernos cajeros automáticos los convierte en la forma más rápida y fácil para que los ciberpiratas accedan a los fondos del banco. Por supuesto que el sector bancario está reaccionado contras estos ataques implementando una serie de medidas de seguridad, pero el panorama de amenazas no cesa en su evolución. Para que lo bancos se preparen y sepan qué esperar en el corto plazo, hemos preparado un informe resumido de las futuras ciberamenazas contra cajeros automáticos. Esperamos que este informe ayude a este sector a estar mejor preparado para enfrentar una nueva generación de herramientas y técnicas de ataques.

El informe contiene dos documentos en los que se analiza todos los métodos actuales de autenticación que se usan para penetrar los cajeros automáticos y los que prevemos se usarán en el corto plazo, entre ellos: autenticación sin contacto mediante NFC, sistemas de autenticación por contraseñas desechables y de autenticación biométrica, así como potenciales vectores de ataques por medio de programas maliciosos, ataques mediante redes y ataques contra componentes de hardware.

Hemos considerado lo que está sucediendo con estas tecnologías en el mundo clandestino y nos ha sorprendido descubrir que existan una docena de fabricantes que ya est’an ofreciendo escáneres fraudulentos de huellas digitales, también conocidos como skimmers (duplicadores de bandas magnéticas) biométricos. También existen al menos tres fabricantes que se encuentran investigando dispositivos que sean capaces de obtener datos a partir de los sistemas de reconocimiento de venas de la palma de las manos y del iris.

Esta es una tendencia importante porque el problema con los datos biométricos radica en que, a diferencia de las contraseñas o códigos PIN son fáciles de modificar en caso de un ataque, es imposible cambiar las imágenes del iris o de las huellas digitales. Por lo tanto, si estos datos llegan a comprometerse auque sea una vez, ya no será seguro utilizarlos en el futuro. Por eso es extremadamente importante mantener estos datos bajo estricta protección y transmitirlos en forma segura. Los datos biométricos también se utilizan en los modernos pasaportes, llamados pasaportes electrónicos, y en las visas. Entonces, si un atacante roba un pasaporte electrónico, no sólo captura el documento sino también los datos biométricos de la víctima. En consecuencia, roba la identidad de la víctima.

Los datos biométricos también pueden caer en manos de los ciberdelincuentes si hackean la infraestructura de un banco, lo cual constituye un gran problema, pues si el banco pierde la base de datos biométricos de sus clientes no será posible resolver este problema con sólo recuperar las tarjetas bancarias comprometidas. Se trata de una pérdida irrecuperable y por ello constituye una amenaza que el sector nunca antes había enfrentado.

En general, los ataques por red contra cajeros automáticos serán un dolor de cabeza para los responsables de la seguridad informática de las organizaciones financieras en los siguientes años porque, como lo demuestran nuestras pruebas de penetración, la infraestructura de red de un banco suele estar diseñada de manera que un hacker puede explotar una vulnerabilidad para penetrar y controlar partes críticas de la red, incluyendo la red de cajeros automáticos. Y esta situación no va a cambiar en el corto plazo debido a varias razones, una de las cuales es el gran tamaño de las redes de las instituciones financieras y la pesada y costosa tarea que implica su actualización.

Sin embargo, al publicar este informe nos gustaría llamar la atención sobre el problema de seguridad de los cajeros automáticos ahora y en el futuro, y acelerar el desarrollo de un verdadero ecosistema seguro alrededor de estas máquinas.

Lea el informe completo aquí (Eng.)

Lea la descripción de los ataques aquí (Eng.)