El cibercrimen imparable, pero prevenible, en cajeros automáticos
Por Néstor Santolaya Bea, Cybersecurity product expert en Auriga
(Global) El conocimiento es la primera barrera de protección ante las amenazas tecnológicas.
El cibercrimen está en constante evolución, siempre en busca de vulnerabilidades para explotar, por lo que es crucial reconocer los riesgos más críticos a los que se enfrentan las instituciones financieras, quizá su principal objetivo por el número de intentos y casos conocidos.
Las amenazas cibernéticas a los cajeros automáticos siguen siendo sofisticadas, pero las entidades que implementen un enfoque de seguridad centrado en la prevención, con el control y la respuesta rápida podrán reducir eficientemente estos peligros. La habilidad para prever a los agresores y cerrar las lagunas antes de que sean aprovechadas es lo que diferencia a los líderes de la industria.
Amenazas: un doble frente
Los cajeros automáticos atraen una variedad de riesgos que se pueden clasificar en dos categorías: ataques contra la propiedad física y ataques dirigidos al fraude. Tener clara esta diferenciación es vital para elaborar una estrategia de seguridad holística.
A pesar de que los ataques físicos a los cajeros automáticos a menudo concentran la atención por su magnitud, los malware son los que pueden provocar los daños más severos; tanto en términos económicos como en la reputación de las instituciones financieras.
El malware, creado para tomar el control de los sistemas del cajero, facilita a los intrusos la realización de acciones fraudulentas, tales como: el robo de dinero o de datos del cliente, o la gestión remota de las operaciones del equipo. Estos ataques, al ser menos perceptibles, pueden permanecer ocultos durante un periodo prolongado, provocando pérdidas económicas considerables y perjudicando la confianza de los clientes sobre la seguridad que ofrece el banco.
La metodología de operación generalmente empieza con la instalación de malware en el sistema operativo del cajero explotando, como primera opción, las vulnerabilidades en la capa XFS (eXtended Financial Services), un elemento crucial que regula la interacción entre el hardware del cajero y su software. Una vez comprometido, los atacantes tienen la capacidad de realizar transacciones fraudulentas con un elevado nivel de invisibilidad.
¿Cuáles son las etapas del ataque malware?
Los ataques de software malicioso a los cajeros automáticos siguen un ciclo de vida organizado que se inicia con la detección de fallos en las protecciones de los sistemas bancarios, continúa con la infiltración y persistencia del malware y finaliza con la activación para la realización de acciones perjudiciales, a lo que le sigue normalmente una fase final de sigilo y eliminación para poder expandir los ataques a otros ATMs.
Durante la fase inicial de detección de fallos se emprende una etapa de Investigación y desarrollo; los atacantes detectan las falencias en los sistemas de cajeros automáticos, empleando ingeniería inversa y herramientas de análisis para aprovechar estas debilidades.
Por lo regular, la fase de infiltración se realiza de dos maneras diferentes: el malware puede instalarse de manera física a través de dispositivos USB o a distancia utilizando la red interna del banco. Los ejemplos de malware como XFS_Direct, Alice o Cutlet Maker suelen introducirse a través de medios físicos; mientras que otros ataques más complejos como HelloWorld/ATMTest/DispenserXFS aprovechan las vulnerabilidades de la red para diseminar el malware sin requerir una entrada física.
Tras la persistencia del malware comienza la etapa de activación del ataque, donde los intrusos concretan las transacciones fraudulentas o el robo de datos empleando diferentes métodos de activación, desde tarjetas de crédito hasta el manejo de teclados o la ejecución a distancia mediante conexiones de red.
Después del ataque, el malware puede ser eliminado o escondido para eludir su identificación, dificultando el estudio forense y permitiendo que las actividades ilegales permanezcan inadvertidas durante extensos lapsos de tiempo.
El malware particular para cajeros automáticos se presenta a escala mundial, con importantes focos de actividad en México y Rusia que constituyen más del 50% de las detecciones de nuevas variantes.
Por ejemplo, mientras que malware como NeoPocket,Ploutus, o cualquiera de sus variantes, han sido detectados principalmente en América Latina; en regiones como Europa el malware ATMitch, o los ataques de red mediante el software malicioso Anunak/Carbanak/Cobalt han provocado pérdidas millonarias a las instituciones financieras a través de ataques coordinados a cajeros automáticos.
Componentes físicos: acceso y manipulación directa
Debido a su sencillez se continúa utilizando el acceso físico a los cajeros automáticos como una de las estrategias más habituales para la instalación de malware. Los cibercriminales tienen la posibilidad de emplear dispositivos como unidades de CD-ROM, USB o ordenadores de placa única (SBC) para infiltrar software perjudicial directamente en el sistema operativo del cajero.
Malware como Padpin/Tyupkin, Suceful o Green Dispenser facilitan a los intrusos el control del hardware; a través de la capa XFS, una interfaz crucial que regula la interacción con los dispositivos periféricos del cajero, tales como el dispensador de dinero o el lector de tarjetas. Necesario resaltar los casos de WinPot/ATMPot o ATMJackpot, donde la directa interacción con esta capa ha permitido convertir el cajero en “maquinitas” donde basta con dar “spin” para obtener el efectivo.
Los ataques físicos también pueden conllevar el manejo de los discos duros o el uso de dispositivos móviles vinculados al backend del cajero para conseguir un control remoto. Estos procedimientos necesitan acceso directo al hardware, haciéndolos extremadamente eficaces pero más sencillos de identificar que los ataques informáticos a distancia.
Ataques basados en la red: la infección remota
El malware que emplea la red para entrar en los cajeros automáticos es una de las amenazas más peligrosas, dado que puede extenderse con rapidez sin requerir un acceso presencial. Estos ataques se valen de fallas en la infraestructura de red del banco o en los sistemas de distribución de programas informáticos centralizados.
Instrumentos como ATMii o ATMSpitter ponen en riesgo las redes bancarias mediante conexiones a distancia, difundiendo malware en varios cajeros automáticos vinculados a la misma red.
Mediante el uso de herramientas legítimas de conexión remota, como las plataformas de gestión de software, los atacantes consiguen distribuir el malware a gran escala; permitiendo la realización de actividades ilegales sin la necesidad de estar presentes. Este tipo de infección basada en red tiene un alto riesgo al facilitar ataques coordinados a otras infecciones.
Activación del malware:física y remota
La activación del malware en los cajeros automáticos puede realizarse a través de diversas técnicas, sean físicas o remotas. Uno de los métodos más habituales es la utilización de tarjetas específicas o series de códigos introducidos por medio del teclado del cajero.
Malware como Skimer/Ligsterac, o Ripper emplean tarjetas bancarias diseñadas específicamente para poner en marcha el software dañino al ser introducidas en el cajero. Otras opciones, tales como Prilex y FixS, demandan la introducción de códigos en el PinPad del cajero o la utilización de dispositivos externos como teclados USB o ratones vinculados al software.
Además de los procedimientos físicos hay estrategias de activación remota que habilitan a los intrusos a realizar órdenes desde el aire, capitalizando las debilidades en la red.
Por ejemplo, ATMJaDi y Dtrack emplean instrumentos de acceso remoto para gestionar los cajeros automáticos y poner en marcha el malware sin requerir una interacción presencial. Estas técnicas a distancia son particularmente peligrosas ya que posibilitan a los atacantes poner en peligro varios dispositivos al mismo tiempo sin dejar huellas claras de su actividad.
Protección contra los ataques de malware
La protección frente a los ataques de malware en cajeros automáticos demanda la adopción de un enfoque completo y proactivo, que no se base en la monitorización del sistema sino en la reducción de la superficie de ataque a la mínima expresión, enfoque que sólo se puede conseguir mediante el concepto de confianza cero (Zero Trust). Las entidades financieras tienen la capacidad de implementar un conjunto de controles sofisticados que engloben tanto acciones físicas como tecnológicas.
Por ejemplo, el cifrado de discos duros es esencial para asegurar que los datos guardados en los cajeros no sean accesibles en caso de manipulación externa, evitando que los intrusos puedan alterar o extraer datos sensibles, preservando así la propiedad intelectual de las entidades bancarias.
Es fundamental limitar la conectividad de los dispositivos de hardware, no sólo los de tipo USB sino todos los dispositivos que no hayan sido previamente autorizados, asumiendo como amenaza cualquier otro dispositivo externo.
En cuanto a la protección de software es necesario aplicar técnicas avanzadas de Whitelisting de procesos, integridad de ficheros, protección de parámetros, librerías o incluso del registro, lo que permite reducir considerablemente la superficie de ataque al limitar las herramientas autorizadas de forma estricta a aquellas enfocadas al propósito específico del ATM.
De esta forma se consigue convertir un Sistema Operativo, como Windows, de propósito genérico o IT, en un Sistema Operativo muy limitado, de tipo OT, donde no se puede confiar en herramientas que no estén directamente relacionadas con la operación del cajero, por muy legítimas que sean.
Desde una perspectiva de red, es vital establecer una protección de las comunicaciones que esté alineada con el resto de protecciones para desconfiar de todo elemento desconocido y permitir el acceso a los recursos necesarios sólo a los procesos legítimos autorizados. Esta protección, junto a un sistema de vigilancia constante es vital para detectar acciones sospechosas en tiempo real, junto con auditorías de seguridad regulares.
El concepto de Zero Trust ha probado ser sumamente eficaz como se pudo ver en el caso de FixS en 2023, restringiendo el acceso únicamente a dispositivos, procesos y usuarios que han sido rigurosos en su validación, reduciendo así el peligro de intrusiones no permitidas. Mediante esta aproximación a la ciberseguridad, ha quedado demostrado que este modelo es lo suficientemente robusto como para prevenir no sólo los ataques de malware conocidos, sino los que puedan llegar en un futuro o incluso el uso fraudulento de software legítimo que no sirve a la operación específica del dispositivo crítico.
A pesar de este nuevo enfoque, sigue siendo recomendable aplicar las técnicas de protección más tradicionales, como realizar actualizaciones regulares de software y rectificar las vulnerabilidades detectadas para prevenir la explotación de ataques de día cero o tener un sistema activo de monitorización de amenazas. Estas tácticas combinadas posibilitan la creación de un entorno de seguridad flexible y adaptable, que resguarda eficientemente tanto el hardware como las comunicaciones de los cajeros automáticos ante las amenazas cibernéticas en evolución.
En Auriga se dispone de una amplia experiencia en ciberseguridad al tratar de forma proactiva las amenazas emergentes en los cajeros automáticos. Con un enfoque técnico y minucioso, además de reconocerse los peligros más críticos a los que se enfrentan las instituciones financieras, también se pueden ofrecer tácticas sofisticadas para prevenir ataques y reducir las vulnerabilidades.
En este contexto, las soluciones avanzadas de ciberseguridad no son una alternativa, sino una exigencia esencial para asegurar la continuidad de las operaciones y la salvaguarda de los activos financieros.
Ver más: ¿Cómo evolucionaron los ciberataques en los últimos 10 años?
Ver más: El malware más buscado en Argentina
Ver más: Cómo proteger los correos electrónicos en la era de los ciberataques
