La empresa de ciberseguridad ha IOActive ha descubierto una serie de vulnerabilidades que permiten hackear los cajeros automáticos con una aplicación en el móvil.
Los ataques informáticos a cajeros automáticos no es algo nuevo, pero sí la técnica usada por el investigador Josep Rodríguez, consultor de la empresa de ciberseguridad IOActive. Ha descubierto una serie de errores en el sistema NFC de los cajeros que abre la puerta a ataques para los que solo sería necesario contar con un teléfono móvil.
Rodríguez ha explicado a la revista The Wired cómo ha creado una aplicación en Android con la que aprovecharse de las vulnerabilidades encontradas en el firmware de los sistemas NFC de estos cajeros. Así ha demostrado en un vídeo como es posible bloquear una de estas máquinas en Madrid o robar datos personales de los clientes.
La empresa fue contratada para investigar la seguridad de estos sistemas que podemos encontrar en todos los bancos e incluso en otros establecimientos. De esta forma las empresas se adelantan a los ciberdelincuentes y localizan esos puntos débiles para corregir cualquier error antes de que se utilice en su contra en un ataque informático.
El NFC o Near Field Communication es la tecnología que nos permite actualmente realizar pagos con el móvil en vez de en metálico o con tarjeta. Se necesita que ambos dispositivos compatibles con esta tecnología se coloquen a poca distancia, unos 20 centímetros para recibir la transmisión de información sobre un pago, por ejemplo.
Josep Rodríguez denuncia a The Wired que las vulnerabilidades que ha encontrado llevan décadas en el sistema. Aunque no ha revelado el nombre de la empresa que le ha contratado para investigar los fallos del sistema si ha explicado todos los ataques que ha conseguido realizar en su investigación y promete revelar más datos si estos errores no se corrigen pronto.
El ataque más común en los cajeros implica introducir un cable dentro de la máquina, con el sistema descubierto por esta empresa de ciberseguridad sería tan sencillo como acercar el teléfono móvil al cajero, de ahí la gravedad del asunto. Gracias a ese software desarrollado por el investigador es posible inyectar un malware para recopilar la información de los clientes que han usado el cajero o cambiar los valores de las transacciones que se realicen.
Uno de los ataques implica saturar los lectores con demasiados datos y corromper su memoria, lo que se conoce como un «desbordamiento de búfer». Este caso demuestra la frágil seguridad de los lectores NFC actuales que también se suman a la dificultad para actualizar estas máquinas, tal y como detalla The Wired. Algunos cajeros deben actualizarse en persona y aunque alguna empresa ha asegurado que ese problema está solucionado desde hace años, el investigador asegura que sigue activo.