Índice de temas
Ciberseguridad en cajeros automáticos
Atrás quedó el atracador con pasamontañas y arma en mano frente al asustado empleado de banca. Hoy, en este presente cada vez más digital, nos enfrentamos a organizadísimas bandas de cibercriminales expertos que diseñan formas más sutiles y efectivas de robar, no solo ya el dinero que guardan estas instituciones, sino también los datos de los clientes. El cajero automático es, actualmente, una de las grandes puertas de entrada para el malware capaz de robar datos y dinero.
Fastcash robó 2.000 millones de dólares de bancos en Asia y África en 2018 afectando a los servidores de pago, y ha vuelto en los últimos meses afectando a los switches de las redes internas del banco con sistema operativo Linux
NÉSTOR SANTOLAYA, AURIGA
Robos en cajeros automáticos
Fastcash robó 2.000 millones de dólares de bancos en Asia y África en 2018 afectando a los servidores de pago, y ha vuelto en los últimos meses afectando a los switches de las redes internas del banco con sistema operativo Linux. Ploutus y todas sus variantes sacaron hasta 65 millones de dólares de aproximadamente 75.000 cajeros automáticos de bancos en América Latina, Europa y Estados Unidos. ATMitch extrajo 800.000 dólares de solo ocho cajeros automáticos en Rusia en una noche; y PadPin tardó apenas unas pocas horas en llevarse 3 millones de ringgit malayos (que en aquel momento equivalía a un millón de dólares) de 18 cajeros. ¿Les suenan estos nombres? No son personas, sino la denominación de unas pocas líneas de código de software malicioso específicamente diseñadas para atacar cajeros automáticos.
Y es que la banca ha sido siempre un objetivo del crimen organizado y el cajero automático, accesible para cualquiera por su propia naturaleza y aun a pesar de su número cada vez menor, es todavía un medio de entrada preferido por la mayoría de los atracadores modernos. Las amenazas a las que se enfrentan las organizaciones son múltiples y, aunque sigue habiendo un cierto porcentaje (el 15% aproximadamente en el mundo) de ataques contra la propiedad del banco -alunizanjes, asaltos al camión blindado, robo físico de la caja fuerte…-, la mayoría son los que llamamos ataques de fraude, quizá menos vistosos, pero mucho más dañinos. Y aquí, con permiso de los ataques de tipo ‘black box’, el malware es la estrella. Según la Asociación Europea para las Transacciones Seguras (EAST), los incidentes de fraude suponen el 95% de las pérdidas relacionadas con estos dispositivos, una media de 500€ al año por cajero.
Aunque hay varios grandes modelos de ataques de fraude contra los cajeros y existen más de 50 variantes de malware utilizado para ejecutarlas (al menos las que conocemos), todos ellos tienen que ver con la explotación de vulnerabilidades en el software del dispositivo y en su conectividad para lograr un control no autorizado de sus procesos y operaciones.
El malware que no cesa
Desde los primeros ataques con malwares específicos para cajeros en 2009, las variedades y familias de software malicioso no han dejado de multiplicarse, mutar y extenderse. Cada vez más, incorporan técnicas avanzadas para eludir las medidas de seguridad, métodos mejorados para extraer efectivo y tácticas de evasión sofisticadas para evitar la detección por parte del software de seguridad. Hoy en día, algunos de estos códigos son tan ‘famosos’ que pueden incluso comprarse en el mercado negro por delincuentes no tan expertos en programación, pero mucho en crimen organizado. Esto puede darnos una idea de la gran dimensión que pueden llegar a alcanzar estos ataques.
Los malwares para cajeros automáticos están diseñados meticulosamente para funcionar sin problemas en diversas configuraciones de hardware y software, en aparatos de distintos fabricantes y apuntando específicamente a la capa XFS o al middleware del proveedor. Y como organismos cuasi vivos, pueden mutar y adaptarse, mejorando su eficacia, su alcance operativo y su impacto potencial a toda velocidad.
Aquellos que tienen más éxito son los que son capaces de evadir las defensas y operar de manera sigilosa, sin ser detectados, dentro del dispositivo o incluso de la red. Y una vez acceden y toman el control tras la infección, los malhechores pueden manipular las funciones del cajero para dispensar dinero sin una autorización u obtener información sensible del usuario como los detalles de la tarjeta o los números PIN para realizar transacciones ilícitas. Todo ello sin necesidad de una proximidad física al cajero.
Asegurar lo intangible
Las instituciones financieras deben –ya lo hacen– aplicar estrictas políticas de actualización de software, realizar auditorías de seguridad periódicas y reforzar el sistema operativo, desactivando los servicios innecesarios, aplicando parches de seguridad de inmediato y configurando controles de acceso estrictos. Pero la sofisticación y el impacto de los ataques a ATM destaca la necesidad de medidas de ciberseguridad cada vez más robustas lo que pasa, indefectiblemente, por una vigilancia continua y unas medidas de seguridad proactivas.
Y si de garantizar una gestión de amenazas proactiva y equilibrada entre la seguridad física y la cibernética se trata, aplicar un enfoque de confianza cero es prácticamente obligado. Es necesario pasar de un entorno de tecnología de la información (IT) de propósito general a un sistema de tecnología operativa (OT) específico, lo que reduce significativamente la superficie de ataque al limitar estrictamente las operaciones de software solo a aquellas esenciales para la funcionalidad del cajero automático, aislando de manera efectiva los procesos críticos y evitando que se puedan realizar ataques con herramientas legítimas que no sirven al propósito específico del ATM.
Cambio de paradigma en la ciberseguridad en cajeros automáticos
Se trata de un cambio de paradigma con respecto al enfoque de seguridad tradicional, que apunta a mitigar las vulnerabilidades y limitaciones inherentes a las estrategias convencionales de protección de cajeros automáticos. Y más allá de las defensas perimetrales y suposiciones de confianza, el modelo de seguridad “Confianza Cero” adopta una postura fundamentalmente escéptica, asumiendo que cada aspecto del entorno del cajero automático podría verse potencialmente comprometido. Aquí el énfasis no está en mantener una base de datos exhaustiva de hashes de malware, como suelen hacer los enfoques tradicionales, sino en controles de acceso sólidos para detectar y mitigar amenazas en tiempo real. En definitiva, se trata de pasar de un enfoque reactivo a uno proactivo, que ayudará a mantener la integridad y la seguridad de las transacciones financieras de los clientes y, por supuesto, la suya propia.
Cibercriminales y profesionales de seguridad se encuentran inmersos en una carrera armamentística que, desgraciadamente, está lejos de culminar, si es que lo hace algún día. Por eso es vital abrir los ojos, seguir investigando y no confiar en nadie, ni en nada, lo cual es clave para al menos mantenerse en la lucha.
