ru24.pro
World News in Spanish
Ноябрь
2024

El cibercrimen imparable pero prevenible en cajeros automáticos

0

El conocimiento es la primera barrera de protección ante las amenazas tecnológicas.

El cibercrimen está en constante evolución, siempre en busca de vulnerabilidades para explotar. Y los cajeros automáticos atraen una variedad de riesgos que se pueden clasificar en dos categorías: ataques contra la propiedad física y ataques dirigidos al fraude. Tener clara esta diferenciación es vital para elaborar una estrategia de seguridad holística.

A pesar de que los ataques físicos a los cajeros automáticos a menudo concentran la atención por su magnitud, los malware son los que pueden provocar los daños más severos; tanto en términos económicos como en la reputación de las instituciones financieras.

El malware, creado para tomar el control de los sistemas del cajero, facilita a los intrusos la realización de acciones fraudulentas, tales como: el robo de dinero o de datos del cliente, o la gestión remota de las operaciones del equipo. Estos ataques, al ser menos perceptibles, pueden permanecer ocultos durante un periodo prolongado, provocando pérdidas económicas considerables y perjudicando la confianza de los clientes sobre la seguridad que ofrece el banco.

La metodología de operación generalmente empieza con la instalación de malware en el sistema operativo del cajero, explotando como primera opción, las vulnerabilidades en la capa XFS (eXtended Financial Services), un elemento crucial que regula la interacción entre el hardware del cajero y su software. Una vez comprometido, los atacantes tienen la capacidad de realizar transacciones fraudulentas con un elevado nivel de invisibilidad.

Los ataques de software malicioso a los cajeros automáticos siguen un ciclo de vida organizado que se inicia con la detección de fallos en las protecciones de los sistemas bancarios, continúa con la infiltración y persistencia del malware y finaliza con la activación para la realización de acciones perjudiciales, a lo que le sigue normalmente una fase final de sigilo y eliminación para poder expandir los ataques a otros ATMs.

Por lo regular, la fase de infiltración se realiza de dos maneras diferentes: el malware puede instalarse de manera física a través de dispositivos USB o a distancia utilizando la red interna del banco. Los ejemplos de malware como XFS_Direct, Alice o Cutlet Maker suelen introducirse a través de medios físicos; mientras que otros ataques más complejos como HelloWorld/ATMTest/DispenserXFS aprovechan las vulnerabilidades de la red para diseminar el malware sin requerir una entrada física.

Después del ataque, el malware puede ser eliminado o escondido para eludir su identificación, dificultando el estudio forense y permitiendo que las actividades ilegales permanezcan inadvertidas durante extensos lapsos de tiempo.

El malware particular para cajeros automáticos se presenta a escala mundial, con importantes focos de actividad en México y Rusia que constituyen más del 50% de las detecciones de nuevas variantes.

Por ejemplo, mientras que malware como NeoPocket,Ploutus, o cualquiera de sus variantes, han sido detectados principalmente en América Latina; en regiones como Europa el malware ATMitch, o los ataques de red mediante el software malicioso Anunak/Carbanak/Cobalt han provocado pérdidas millonarias a las instituciones financieras a través de ataques coordinados a cajeros automáticos.

Instrumentos como ATMii o ATMSpitter ponen en riesgo las redes bancarias mediante conexiones a distancia, difundiendo malware en varios cajeros automáticos vinculados a la misma red.

La activación del malware en los cajeros automáticos puede realizarse a través de diversas técnicas, sean físicas o remotas. Uno de los métodos más habituales es la utilización de tarjetas específicas o series de códigos introducidos por medio del teclado del cajero.

Malware como Skimer/Ligsterac, o Ripper emplean tarjetas bancarias diseñadas específicamente para poner en marcha el software dañino al ser introducidas en el cajero. Otras opciones, tales como Prilex y FixS, demandan la introducción de códigos en el PinPad del cajero o la utilización de dispositivos externos como teclados USB o ratones vinculados al software.

La protección frente a los ataques de malware en cajeros automáticos demanda la adopción de un enfoque completo y proactivo, que no se base en la monitorización del sistema sino en la reducción de la superficie de ataque a la mínima expresión, enfoque que sólo se puede conseguir mediante el concepto de confianza cero (Zero Trust).

En cuanto a la protección de software es necesario aplicar técnicas avanzadas de Whitelisting de procesos, integridad de ficheros, protección de parámetros, librerías o incluso del registro, lo que permite reducir considerablemente la superficie de ataque al limitar las herramientas autorizadas de forma estricta a aquellas enfocadas al propósito específico del ATM.

De esta forma se consigue convertir un Sistema Operativo, como Windows, de propósito genérico o IT, en un Sistema Operativo muy limitado, de tipo OT, donde no se puede confiar en herramientas que no estén directamente relacionadas con la operación del cajero, por muy legítimas que sean.

El concepto de Zero Trust ha probado ser sumamente eficaz como se pudo ver en el caso de FixS en 2023, restringiendo el acceso únicamente a dispositivos, procesos y usuarios que han sido rigurosos en su validación, reduciendo así el peligro de intrusiones no permitidas. Mediante esta aproximación a la ciberseguridad, ha quedado demostrado que este modelo es lo suficientemente robusto como para prevenir no sólo los ataques de malware conocidos, sino los que puedan llegar en un futuro o incluso el uso fraudulento de software legítimo que no sirve a la operación específica del dispositivo crítico.

A pesar de este nuevo enfoque, sigue siendo recomendable aplicar las técnicas de protección más tradicionales, como realizar actualizaciones regulares de software y rectificar las vulnerabilidades detectadas para prevenir la explotación de ataques de día cero o tener un sistema activo de monitorización de amenazas. Estas tácticas combinadas posibilitan la creación de un entorno de seguridad flexible y adaptable, que resguarda eficientemente tanto el hardware como las comunicaciones de los cajeros automáticos ante las amenazas cibernéticas en evolución.