Informe ENISA sobre el fraude en cajeros automáticos (autoservicios financieros, ATMs)

Publicada en Por Sergio Hernando

Hola,

El otro día pude acceder, a través del siempre recomendable blog de S21 Sec, a un informe bastante interesante que trata sobre el fraude y delitos en cajeros automáticos (ATMs, Automated Teller Machines)

Aunque sea un anglicismo no justificado, ya que tenemos traducción para el término ATM, me váis a permitir que lo utilice, ya que en la industria de medios de pago y financiera en general goza de una amplia aceptación incluso fuera de los países angloparlantes. En España, no obstante, es cierto que el término ATM no goza de la fama de las acepciones cajero automático para el público en general y autoservicio financiero si hablamos en la jerga de medios de pago.

El fraude y los delitos relacionados con ATMs, en todas sus variantes (tradicional y tecnológico) ha sido y es un tema de mi particular interés. Es por esto que cuando veo informes como el de la European Network and Information Security Agency (ENISA) los traigo rápidamente a la portada, ya que es documentación pública que ofrece datos concretos sobre esta indeseable actividad y lo que es más importante: consejos para evitar ser víctimas de un fraude al utilizar un ATM.

El pasado mes de agosto, ENISA hizo público un informe llamado ATM Crime: Overview of the European situation and golden rules on how to avoid it cuya temática se puede deducir fácilmente del título del documento. El documento divide las modalidades de fraude en grandes apartados: el robo de información relacionada con la tarjeta financiera (banda y PIN), ataques a la infraestructura TI de los cajeros (y de las redes que emplean para procesar transacciones) y ataques físicos en cajeros automáticos.

¿Es para tanto?

Según el informe, en el año 2008 había censados en la Eurozona la nada despreciable cantidad de 383.951 cajeros. De un total de 12.278 incidentes censados (que lógicamente no tienen por que ser el 100% ni mucho menos) la inmensa mayoría (10.302, casi el 84%) correspondieron a fraudes relacionados con la obtención ilegítima de datos financieros de las tarjetas.

Las pérdidas informadas en la Eurozona (que no tienen necesariamente que ser todas) ascendieron en 2008 a unos 500 millones de euros, cifrándose en unos 400 millones de euros el impacto financiero derivado de incidentes internacionales (fraude cometido fuera de las fronteras del país emisor del medio de pago). Se estima que en 2008 las pérdidas totales (mundiales) asociadas al fraude en cajeros ascienden a unos 350.000 dólares americanos por día (unos 239.824 euros diarios). Sólo en Reino Unido, a tenor de lo que leemos en el informe, las pérididas en 2008 fueron del orden de los 53 millones de euros.

Parece obvio que ante estas cifras parezca muy lógico tomarse muy en serio las debilidades del sistema y la totalidad de vectores de ataque para tratar de reducir al mínimo estas cifras, que probablemente hayan ascendido en 2009 a causa de la crisis (que está elevando prácticamente todos los índices delictivos)

Robo de información de tarjetas

Posiblemente la gran lacra, al menos en número de incidentes. Según se puede leer en el informe, casi todo está causado por el skimming, es decir, por la obtención ilegítima de datos financieros de la tarjeta a través de lectura de la banda de las mismas. El documento habla de EMV, ya que EMV puede ayudar a solucionar el problema del skimming (siempre y cuando la tarjeta no haga fallback a banda magnética por no tener el cajero un lector EMV, en cuyo caso será igual de vulnerable que un plástico convencional). Sea como fuere, la implantación de EMV reduce el fraude al reducirse las posibilidades de obtener datos de la banda empleando medios ilegítimos.

La situación en Europa tiene dos grupos: países con un 100% de implantación EMV, y países que no están al 100%. Lamentablemente, España está a la cola de Europa con un porcentaje de cumplimiento EMV del 71%, según el informe. Lituania con un 39% e Islandia (que bastante tiene con lo suyo ya) con un 0% de nivel de cumplimiento cierran la clasificación. En lo personal confirmaros que Holanda está al 100% de implantación, tal y como dice el ifnorme, y que todas las tarjetas que he solicitado son EMV, como lo son los cajeros en los que opero.

Los métidos típicos para hacer skimming son la colocación de elementos falsos en el cajero: desde lectores para abrir el cajero cuando está ubicado en un recinto cerrado hasta cajeros completos falsos. Los peores incidentes son aquellos en los que además de datos de banda, se roban PINes de tarjetas, generalmente usando cámaras que graban la secuecia de introducción del PIN en el teclado numérico (PIN pad)

En el informe se mencionan otras maneras bastante rentable de hacerse con datos de los usuarios, como la apropiación fraudulenta de la tarjeta y/o el empleo de métodos de distracción a la víctima. Incluso es posible ser víctimas del fraude por cash trapping, fraude consistente en la colocación de dispositivos que hacen que el dinero quede atrapado para ser recuperado a posteriori por los atacantes.

E-crime

Estos eventos están también desarrollados en el informe, aunque no con un nivel técnico profundo. Otra manera de atacar un cajero es mediante la explotación de la seguridad lógica del mismo. El malware en ATMs está a la orden del día y no debe ser menospreciado. Especialmente preocupante cuando el cajero no está dotado de PIN pad criptográfico o cuando el cifrado de los bloques de PIN es débil, ya que el dato más jugoso de una tarjeta es el PIN (abre la posibilidad de retirar efectivo)

No olvidemos que los cajeros son, en su amplia mayoría, PCs con un sistema operativo y con diversos periféricos (PIN pad, impresora, pantalla, dispensador de efectivo, etc.) con lo que los ataques existentes para los PCs convencionales pueden ser extrapolables a los equipos de los cajeros. Este tipo de ataques compete más a los negocios de adquirencia responsables de la plataforma del ATM que a los usuarios, ya que el usuario poco o nada puede hacer al respecto. Por mucho cuidado que tengamos no podemos hacer gran cosa si el cajero en el que operamos está troyanizado.

Ataques físicos

El informe menciona también incidentes físicos, en referencia a aquellos en los que los atacantes aparcan la sutileza y recurren a la transgresión física de los terminales para tratar de hacerse con el dinero. Posibilidades en este segmento hay, y muchas: desde el uso de lanzas térmicas para abrir los compartimentos del dispensador de efectivo hasta intentos de hacerse con todo el cajero arrastrándolo con un vehículo para liberarlo de las protecciones y anclajes. Otros métodos comunes son los alunizajes, la utilización de sierras rotatorias, taladros con broca de diamantes … un cajero no deja de ser un armazón acorazado donde hay dinero en efectivo, con lo que está expuesto a intentos de múltiple índole para conseguir su contenido.

¿Qué puedo hacer como usuario para tratar de evitar estos incidentes?

El informe contiene tiene unas golden rules que nos ofrecen información sobre qué pautas seguir desde el punto de vista del usuario para reducir la exposición al fraude. Aconsejo seriamente su lectura. En líneas generales:

  • Use los cajeros en el interior de oficinas bancarias como opción preferente. Normalmente los atacantes no adulteran estos cajeros ya que, como resulta obvio, el riesgo de ser sorprendidos en la adulteración es elevado. También son cajeros sujetos a monitorización adicional, como por ejemplo, la que proporciona la seguridad física de las entidades. Son la última opción de un atacante y por tanto, debe ser la primera de los usuarios diligentes.
  • Evite los cajeros aislados, ya que son el objetivo predilecto de muchos delincuentes en todos los sentidos (menor seguridad física, posibilidad de sufrir ataques físicos, robos con fuerza, etc.)
  • Revise el cajero antes de usarlo. Tire de la ranura del lector de tarjetas, del Pin pad (teclado) y de la estructura completa. Revise la presencia de cámaras enfocando al teclado. Los cajeros deteriorados y con excesivas señales de alerta deben hacerlos recelar igualmente.
  • Proteja su PIN, verificando que no hay cámaras grabando y tapando el teclado cuando lo introduzca. Obtener el PIN de una tarjeta es muy complicado usando medios ajenos a la grabación de cómo se teclea el mismo, con lo que la mayoría de ataques para obtener PINes estarán perpetrados con cámaras. Estas cámaras suelen cumplir dos requisitos fundamentales: tienen que enfocar al teclado para poder grabar la introducciónd el PIN y suelen estar escondidas a los ojos del usuario para evitar ser detectadas. No tenga reparos en agacharse y observar el cajero desde otros ángulos distintos al convencional.
  • Proteja su tarjeta. Si el dinero o la tarjeta quedan atrapados al procesar una transaccion, llame a su banco sin abandonar el cajero y notifíquelo de inmediato. Recibirá asistencia, y lo más importante: habrá denunciado la sospecha de compromiso de su medio de pago, lo que hará que su tarjeta quede bloqueada o anulada, convirtiéndola en inútil para los atacantes que la obtuvieran tras el incidente.
  • Active alertas al móvil y revise los extractos periódicamente. No hay nada mejor para enterarse si alguien está usando una tarjeta clonada con sus datos.
  • Conozca y modifique los límites diarios y mensuales que tiene su tarjeta para acotar el volumen del fraude potencial. No suele haber necesidad de permitir que su tarjeta pueda disponer de altas cantidades de efectivo diariamente.
  • En general, ante cualquier anomalía, sospeche. Piense que un cajero tiene como principal misión atender a los clientes, 24×7 y los 365 días al año con la menor cantidad de incidencias posible. Es por esto que la amplia mayoría de redes y autoservicios financieros tienen una disponibilidad muy elevada, con lo cual recele ante un evento de indisponibilidad.

En definitiva, un informe interesante. Me apunto en el TO-DO desarrollar cada una de estas modalidades.

Un saludo, y buen fin de semana.

Entrada relacionada

Ciberseguridad: algo más que una palabra de moda

Publicada en

Snort en un router DD-WRT: Instalación, configuración y operación básica en 10 pasos

Publicada en

Auditoría de centros de procesamiento de datos. Parte 3: Aspectos contractuales y de gestión energética

Publicada en

Auditoría de centros de procesamiento de datos. Parte 2: Seguridad lógica

Publicada en

Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física

Publicada en