El futuro del malware en cajeros automáticos

Hola,

Aunque no es un informe recién salido del horno, Trustwave publicó el pasado mes de Mayo un informe en el que se realiza un interesante estudio de malware en autoservicios financieros aka cajeros automáticos. Un claro ejemplo de la profesionalización que se ha alcanzado en el bando de los chicos malos, ya que el bicho, entre otras prestezas, permite a los atacantes obtener mediante la impresora financiera del propio cajero todos los datos capturados o incluso provocar la expulsión del dispensador para sacar de él los billetes.

Sirva este ejemplo para reflexionar sobre a qué nos estamos enfrentando. La contaminación deliberada de cajeros es un tema que no goza de la popularidad de otras ramas del crimen organizado, como la troyanización de equipos de usuario, el spam, las farmacias en línea ilegítimas y otras actividades delictivas similares, con lo que es difícil documentarse con casos reales bien trazados. El informe de Trustwave es uno de ellos.

Afortunadamente la seguridad física y en algunos casos lógica que tiene un cajero son suficientes, por norma general, para amedrentar a los posibles atacantes, pero este es un nicho candidato a ser objetivo para el año 2010. Aunque la tasa de incidentes por cajero operativo no es representativa, ya que la amplísima mayoría de los mismos están bien protegidos, la progresiva conversión de unidades financieras especializadas en PCs convencionales con periféricos ha abierto las puertas a posibles oportunidades.

Para que os hagáis una idea, en Reino Unido el 90% de los cajeros son Wintel. Atrás quedaron los terminales basados en OS/2, siendo ahora la tónica del mercado la instalación de terminales que corren Windows XP Embedded, una edición especial de XP Professional en la que es posible elegir qué componentes queremos instalar mantieniendo la disponibilidad plena de Windows API, lo que lo hace ideal para montar encima aplicaciones de cajeros. Además la gran mayoría de los clientes corporativos tiene experiencia y recursos para mantener cómodamente soluciones Windows, existen infinidad de productos para gestionar su funcionamiento, los periféricos financieros funcionan bien y sin complicaciones en Windows, y el desarrollo de aplicaciones para estas plataformas es relativamente sencillo. Es un sistema atractivo para operar cajeros.

Pero no todo podía ser de color rosa en esta historia, ya que sabemos que los troyanos sienten la misma predilección por Windows que las corporaciones a la hora de seleccionarlo como plataforma, y es ahí donde se abre la veda que antes apenas existía para OS/2. Si ya era duro encontrar desarrolladores para funciones legítimas, no os digo nada sobre reclutar criminales para desarrollar funciones maliciosas en el sistema de IBM.

A buen seguro, y volviendo al título del post, tendremos dos meses por delante plagados de opiniones sobre lo que nos deparará el 2010 en lo que a seguridad se refiere. Además del sempiterno auge del malware en dispositivos móviles (ese que hasta el día de hoy nunca se ha producido, y que se lleva pronosticando años) no es descartable que los analistas mencionen el malware en terminales financieros en sus informes de tendencias, además de las típicas vaguedades generalistas que suelen incluír, como todos a la nube si o no, este será el año de Linux en el escritorio sí o no, o todos tendremos pantallas a lo Minority Report sí o no.

Yo no suelo hacer predicciones, pero sin que sirva de precedentes, voy a hacer una. Algunos la veréis obvia, y otros consideraréis que todavía es pronto para mojarse, pero creo que en 2010 vamos a ver muchos incidentes protagonizados por malware en cajeros. La razón que me lleva a pensar esto es que durante 2009 los troyanos han alcanzado un nivel de sofisticación espectacular, con lo que creo que los amigos de lo ajeno están definitivamente preparados para ir a por la pasta contante y sonante que reside en los cajeros mediante métodos alternativos al clonado y obtención del PIN.

Esto, junto al hecho de que 2009 no ha sido precisamente un año de alegría y champán en cuanto a dotaciones presupuestarias e inversiones en seguridad, me hace pensar que a buen seguro veremos avances en este campo. Sinceramente, espero equivocarme por el bien de todos.

Un saludo, y comentamos el año que viene. Entre tanto, sentíos libres de escribir aquí vuestras previsiones, si es que alguien quiere frotar un poco la bola de cristal, claro :)

7 comentarios sobre “El futuro del malware en cajeros automáticos

  1. Una vez más, a pesar de todas las ventajas que has descrito sobre el desarrollo de aplicaciones Wintel, sigo sin encontrarle ningún sentido a usar Windows XP en cajeros. Bueno, y tampoco en las pantallas de televisión del metro, establecimientos, aeropuertos, etc.

    No lo entiendo, en primer lugar, por que es un sistema extremadamente antiguo. En segundo lugar por que Windows XP puede ser cualquier cosa menos modular, y los sistemas poco modulares suelen tener una superficie de ataque enorme. En tercer lugar por lo complejo que es, por ser de código cerrado y por ser la plataforma más atacada. Y en cuarto lugar, por lo poco flexible a la hora de ser modificado y por el precio.

  2. Ya hace unos meses los medios de comunicación se sorprendían por que algunos cajeros automaticos funcionaban como tragaperras, de hecho la presentación de Juniper en el evento Black Hat de Las Vegas fue suspendida a petición de los fabricantes afectados y ha sido suspendida «sin equanom». A fecha de hoy no se sabe que ha pasado…

    Al final la estrategia que está siguiendo la red de ATM’s de 4B en el mantenimiento del OS/2 como sistema operativo de sus cajeros parece que no es la de la aquilatacion de costes por adquisición de nuevos terminales o por la adquisicion de licencias, sino que es fruto de algún visionario que ya predecía esta situación.

    No obstante ya, desde hace algunos años, existen equipos como los de NCR o de Diebold que, bajo sesiones virtualizadas, si que implementan OS/2 bajo XP.

    Hace ya al menos cinco años algun fabricante incorporaba licencias de firewalls que, ademas de controlar los accesos, controlaban procesos de ejecución pero que las Entidades financieras insistentemente han descartado.

    Espero que la tecnología TPM incluido dentro de los iPC’s de estos terminales sean aprovechadas y no suframos los usuarios finales.

    Todo esto sería posible si al Cajero Automatico se le percibiera el valor que realmente tiene y no el de un cajon excesivamente caro con una ranura para insertar la tarjeta y otra que entrega el dinero.

    Ah! se me olvidaba, me ha encantado el articulo.

  3. Excelente artículo. Finalmente todo es un circulo vicioso donde la implementación del sistema operativo windows en cajeros electrónicos ahora está obligando a la banca a utilizar sistemas de hardening para blindar los ATM contra la ejecuciòn de software no autorizado y además a forzado a los proveedores a utilizar tokens parametrizados para los empleados de mantenimiento…. en fin, todo es una bella cadena de abastecimiento donde irónicamente las malas decisiones de algunos y los actos delictivos de otros impulsan la generación de empleo en la industria tecnológica.

    Saludos desde Colombia!

Comentarios cerrados.