La tendencia a hackear cajeros automáticos por medio de malware no ha dejado de aumentar desde 2015.
Yendo un paso más allá, el año pasado los delincuentes especializados en este tipo de robos comprobaron que por esas fechas ya ni siquiera necesitaban manipular el cajero físicamente, como habían venido haciendo hasta entonces, y que podían infectarlo solo con el software malicioso accediendo a través de la red corporativa del banco.
Son datos de un estudio elaborado de forma conjunta entre la empresa de ciberseguridad Trend Micro y Europol.
En el mismo se recuerda que en el pasado la principal vía para atacar un cajero automático era, al menos de entrada, puramente física. Se trataba de abrir la carcasa del cajero para acceder al sistema de funcionamiento interno del hardware e insertar un pendrive o un CD con el malware y luego reiniciar la máquina.
Aunque este procedimiento no ha dejado de utilizarse actualmente, los autores del documento han venido constatando un aumento de la preferencia por el acceso remoto a la red corporativa de la que depende el funcionamiento de ese cajero al que se ataca.
Escoger esta segunda opción supone un mayor esfuerzo de planificación y ejecución para el delincuente, ya que la segregación de redes en los bancos supone enfrentar el reto de acceder primero a la red corporativa principal, y luego a la que conecta específicamente los cajeros de esa entidad.
Para lograrlo, si la arquitectura de red está diseñada como corresponde, pasar de una red a otra debería implicar ser capaz de sortear cortafuegos y otras medidas de seguridad.
Aunque se resalta los “esfuerzos” de entidades bancarias, proveedores de cajeros automáticos y compañías de seguridad para ponérselo más difícil a los amigos de lo ajeno, también se asegura que “algunos bancos” ni siquiera tienen separada la red informática de los cajeros de la red informática central.
Algo preocupante si se tiene en cuenta que incluso habiendo establecido una segregación de redes ha habido ciberdelincuentes capaces de instalar software en los cajeros automáticos desde la mismísima red corporativa principal.
También se pone el acento en que “cientos de miles” de cajeros automáticos en todo el mundo aún funcionan con una versión de Windows para la que o bien ya no hay disponibles parches para tapar vulnerabilidades, o bien pronto dejarán de suministrarlos de modo regular.
La seguridad del hardware muchas veces tampoco es la que cabría esperar en un dispositivo que suministra dinero en efectivo. No es extraño que usen cerraduras genéricas algo que, recalcan las fuentes del estudio, no es solo patrimonio de los cajeros automáticos sino de otras instalaciones situadas a pie de calle.
El primer malware usado para atacar cajeros automáticos del que se tiene noticia es Skimer. Su hallazgo se publicó en una entrada del blog de SophosLabs en marzo de 2009, pero se cree que sus orígenes podrían remontarse a julio de 2007.
Para instalarlo en los cajeros, había que manipular estos previamente para acceder a su mecanismo interno.
Respecto al ataque remoto con malware, la mecánica como ya se ha dicho es lograr introducirse en la red corporativa de la entidad bancaria. Esto se logra generalmente mediante técnicas de phishing. No porque sea la única manera de acceder ni mucho menos, sino porque es la menos complicada y por tanto la que tiende a utilizarse más.
Una vez ahí, como ya se ha mencionado más arriba, localizan y acceden a distintas subredes de la entidad que han convertido en su objetivo, entre las que se encuentra la del cajero automático.
El primer malware que permitió manipular cajeros sin tener que molestarse en forzarlos se usó para atacar unos cuantos de una entidad bancaria con sede en Bangkok, Tailandia.
Este cambio en el modus operandi coincidió curiosamente con un período en el que los bancos habían puesto en general más empeño en tratar de hacer a sus cajeros automáticos más difíciles de forzar manualmente.
En otro caso concreto, los atacantes robaron el equivalente a unos dos millones y medio de dólares estadounidenses en Taiwán, también a principios de julio del año pasado.
Llegaron a lograr tal control de la red corporativa del banco afectado que no solo les bastó para instalar a su antojo cualquier software que obligara a los cajeros a dispensar dinero, sino que además pudieron controlarlos de forma remota.
No obstante, quienes lideraron la operación necesitaron igualmente gente que les prestara apoyo en la calle.
Un grupo de personas recogían el dinero de un cajero atacado y se desplazaban en un vehículo a retirar más dinero en el siguiente.
Aunque los ataques se han concentrado en las áreas de América Latina y Europa del Este, estos grupos criminales que han seguido esta evolución a la hora de robar en cajeros automáticos han exportado la técnica y ya se han empezado a registrar casos en países ajenos a estas zonas.
Los investigadores no han constatado que se hayan producido ataques de este tipo dignos de mención en Estados Unidos y Canadá. Opinan que ello puede deberse a que los criminales creen que evitando países con unas fuerzas y agencias de seguridad poderosas están más a salvo.
No obstante, se conmina a estos dos países a que no se relajen ante el ritmo que grupos cibercriminales con distintos niveles de pericia están imprimiendo al desarrollo, uso y venta en el mercado negro de malware específico para atacar cajeros automáticos.
No se puede dejar de mencionar que en el informe, a pesar de la participación de Europol, no consta cuántos países ni cuáles son los más afectados en la UE y por tanto poder comprobar en qué situación se encuentra España.
