Cajero automático

Cajero automático

Tecnología

Descubren cómo hackear cajeros automáticos con sólo un teléfono móvil

Un investigador de ciberseguridad ha demostrado ser capaz de hackear cajeros automáticos usando simplemente la conectividad NFC, sin necesidad de forzar las máquinas.

25 junio, 2021 14:03

Noticias relacionadas

Los cajeros automáticos, como cualquier otro sistema electrónico, se pueden hackear. En España se han intentado forzar de mil maneras, pero un investigador ha dado la sorpresa al mundo mostrando cómo ha conseguido hackearlos con un simple móvil y conectividad NFC.

Según recoge Wiredel investigador Josep Rodríguez, consultor de la empresa de ciberseguridad IOActive, ha descubierto una colección de errores en los sistemas NFC que permitirían, con los conocimientos adecuados, hackear cajeros con dichos sistemas para conseguir multitud de beneficios por parte de ellos.

Rodríguez ha desarrollado una aplicación de Android que permite explotar estas vulnerabilidades del firmware de los sistemas NFC. Con un teléfono que tenga instalado esta aplicación, puede desde bloquear puntos de venta hasta recopilar todo tipo de información de dichos sistemas, incluyendo datos bancarios de clientes.

Hackeando cajeros automáticos

El NFC, o Near Field Communication (Comunicación de Campo Cercano), es una tecnología que lleva usándose años en dispositivos móviles. Esta es una plataforma inalámbrica abierta, y está pensada para transmitir datos de forma instantánea. Se caracteriza por tener un alcance muy limitado, de 20 centímetros como máximo pero permitiendo recibir y enviar información.

En un principio se intentó implementar como alternativa al Bluetooth para transferir archivos, debido a sus bondades para transmitir datos de forma instantánea, sin necesidad de emparejamiento. Hay dos tipos de NFC:

  • NFC activo: dos dispositivos con chips NFC generan un campo electromagnético, conectándose el uno al otro para transmitir la información necesaria.
  • NFC pasivo: un dispositivo con un chip NFC genera un campo electromagnético y otro dispositivo se conecta a él, sin generar su propio campo, para recibir los datos.
Cajero automático.

Cajero automático. Peggy_Marco | Pixabay Omicrono

Paulatinamente, se ha implementado para realizar todo tipo de fines relacionados con los dispositivos móviles. En los últimos años, esta tecnología se ha aplicado para pagos móviles Contactless, es decir, pagos sin necesidad de tarjeta física. Por ende se ha usado en los cajeros automáticos, como autentificación para evitar usar tanto las clásicas tarjetas y libretas.

Rodríguez fue contratado para probar la seguridad de estos dispositivos, con el fin de mejorar la seguridad de los cajeros automáticos. El investigador ha demostrado que con esta colección de errores detectados, puede provocar todo tipo de problemas. Por ejemplo, puede realizar un desbordamiento de búfer, provocando una corrupción de memoria en el dispositivo y accediendo a él.

Mujer sacando dinero del cajero en imagen de archivo.

Mujer sacando dinero del cajero en imagen de archivo.

Así, Rodríguez ha podido explotar de forma legal (con fines de seguridad) dichas vulnerabilidades de cajeros y puntos de ventas que usen NFC. Según ha podido demostrar, las vulnerabilidades son tan graves que han permitido incluso inyectar malware en los cajeros, obteniendo la información de las tarjetas que se han usado para los pagos y operaciones de dichos dispositivos.

Según Wired, ha llegado a cambiar los valores de las transacciones realizadas, bloquear dispositivos con mensajes de ransomware y recopilar los datos almacenados de estos aparatos. Es decir, que un hacker con suficiente técnica, podría causar un verdadero desastre en uno de estos aparatos, afectando de forma potencial a cientos de miles de víctimas.

Lo peor, según Rodríguez, es que la naturaleza de los ataques que ha realizado es muy antigua, y llevan existiendo desde hace décadas. Unos ataques contra los que estos cajeros deberían estar protegidos, y aunque está legalmente obligado a no revelar la identidad de las empresas que le han contratado, Rodríguez ha asegurado que va a revelar todavía más datos para que esta situación se solucione lo antes posible.

También te puede interesar...