Hackean cajeros automáticos usando solo un teléfono celular

La piratería de cajeros automáticos no es nada nuevo.

Como cualquier sistema diseñado por humanos, están destinados a contener una falla o dos, o simplemente fallar con el tiempo frente a tecnologías mejores y más rápidas.

Sin embargo, a diferencia de la mayoría del hardware, los cajeros automáticos parecen ocupar un lugar especial en la imaginación de las personas que obtienen un placer enfermizo al ver dispositivos supuestamente inexpugnables abrirse de par en par como un pato asado.

Al final, ¿quién de nosotros podría realmente rechazar el asombroso poder de hacer que el dinero en efectivo apareciera de la nada?

Por desgracia, la mayoría de los ataques a cajeros automáticos del pasado han requerido que un atacante obtenga acceso físico a un puerto USB; un acto demasiado conspicuo a la luz del día, ya que normalmente implica destrozar alguna parte de la máquina.

Esto es cierto incluso si el objetivo no es robar dinero real, sino más bien “ojear” los detalles de la tarjeta de pago de futuros clientes.

Incluso los ataques basados ​​en red que se realizan con menos frecuencia, aunque son remotos, parecen estar plagados de riesgos.

Hackear un banco directamente y luego, de alguna manera, encontrar la manera de ingresar a un cajero automático en particular, requeriría, después de todo, un conjunto de habilidades más amplio, sin mencionar la necesidad de pasar desapercibido en un entorno altamente protegido.

Sin embargo, según Wired, al menos un investigador ha encontrado una manera de evitar la mayor parte de estos problemas, sacando efectivo de los cajeros automáticos como por arte de magia.

El medio informó que Josep Rodríguez, investigador y consultor de la firma de seguridad IOActive, ha acumulado una colección de errores que afectan a los sistemas NFC, también conocido como comunicación de campo cercano, de la que dependen muchas máquinas modernas para transmitir datos de forma inalámbrica, incluida la información de tarjetas de débito y crédito.

Rodríguez, quien fue contratado para probar máquinas legalmente para mejorar su seguridad, ha podido usar lectores NFC para activar lo que los programadores llaman un “desbordamiento de búfer” o un exceso de datos que corrompe la memoria de una máquina.

Este ataque antiguo le ha permitido a Rodríguez explotar los cajeros automáticos y otras máquinas de punto de venta (piense en las máquinas de pago de las tiendas minoristas) de diversas formas: capturando información de tarjetas de pago, inyectando malware e incluso, en un caso, ganando un premio mayor en un cajero.

“Rodríguez ha creado una aplicación para Android que permite que su teléfono inteligente imite las comunicaciones por radio de la tarjeta de crédito y explote fallas en el firmware de los sistemas NFC.

Con un movimiento de su teléfono, puede explotar una variedad de errores para bloquear dispositivos de punto de venta, piratearlos para recopilar y transmitir datos de tarjetas de crédito, cambiar de manera invisible el valor de las transacciones e incluso bloquear los dispositivos mientras muestra un mensaje de ransomware.“

Según Wired, Rodríguez ha mantenido sus hallazgos en secreto durante alrededor de un año y, por lo demás, está legalmente obligado a no revelar las identidades de ciertas empresas para las que ha trabajado.

Sin embargo, molesto porque una técnica de décadas de antigüedad todavía afecta a una gran cantidad de máquinas modernas, tiene la intención de revelar más detalles técnicos en las próximas semanas en un esfuerzo por llamar la atención sobre, como dice Wired, “el estado abismal de los dispositivos integrados de seguridad en general “.

Fuente: Gizmodo