El malware de los cajeros automáticos en auge

David Sancho y Numaan Huq (Investigadores Senior de Amenazas)

Los cajeros automáticos no están siendo sólo afectados por el intento físico de vaciarlos. Ahora los ataques cibernérticos están siendo reconocidos poco a poco como una amenaza emergente por los organismos de la industria de seguridad y los de aplicación de la ley. Varios investigadores hemos detectado durante años software malicioso de los cajeros automáticos hemos visto incidentes que se han llevado a cabo con éxito. Para este tipo de delitos, el malware que se emplea es específico de los cajeros automáticos . El cambio a los medios digitales de ataque revela una comprensión por parte de los grupos criminales de que el uso de malware es la forma más fácil y segura de robar dinero e información de las tarjetas a los cajeros automáticos. Esta tendencia no hará sino crecer en el futuro y debemos ser conscientes de las diferentes vías de grupos criminales que han ganado acceso y se han creado a sí mismas.

Fraude y ataques físicos a los cajeros automáticos

Las estadísticas muestran un aumento general de los ataques de fraude a cajeros automáticos durante el pasado año (+ 15% desde 2014 hasta 2015 en los ataques de fraude relacionados con cajeros). La tendencia cada vez mayor de ataques de software en todas las áreas también significa que los grupos criminales más sofisticados ya se han dado cuenta de la oportunidad oculta en un conjunto de herramientas de hacking para esta área. Las estadísticas indican solamente el comienzo del uso de software malicioso para el fraude del cajero automático, pero sin duda es una tendencia que ha venido para quedarse.
A pesar de que no tenemos las estadísticas de ataque de malware en cajeros automáticos de EE.UU., el equipo de seguridad europeo establece que “las pérdidas internacionales fueron reportadas en 53 países y territorios fuera de la zona única de pago en euros (SEPA) y en 10 en la SEPA. Los tres primeros lugares donde se reportaron estas pérdidas son EE.UU., Indonesia y Filipinas”.
¿Qué provocó la llegada del software malicioso a los cajeros? Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) trabajaron juntos para examinar la evolución de las ciberamenazas en cajeros automáticos. Nuestra investigación indica que hay muchos factores que facilitaron el cambio hacia el uso de un conjunto de herramientas de hacking para apuntar a los cajeros automáticos, junto a ataques más tradicionales.

Un factor importante es el uso de un sistema operativo anticuado como Windows XP® que no puede recibir los parches de seguridad. Otra razón puede encontrarse en la creciente sofisticación de los delincuentes y su comprensión de que la forma digital es menos arriesgada y les permite moverse con mayor sigilo. Otro factor importante es la decisión de los proveedores de emplear middleware que proporciona interfaces de programación de aplicaciones para comunicarse con los dispositivos periféricos de la máquina (como el teclado de PIN, cajero automático, etc.) independientemente del modelo. Este middleware se conoce como Extensiones para Servicios Financieros (XFS) middleware. En términos simples, si pensamos en un cajero automático moderno como un PC MS Windows® con una caja de dinero que se supone que está controlado a través de software, es fácil comprender cómo se convierte en un objetivo atractivo para cualquier escritor de malware. Figura 2. Arquitectura del sistema XFS

Las principales familias de malware en cajeros automáticos existentes
La colaboración en la investigación de Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) también analizó los principales tipos de malware en circulación en el momento. El mapa de arriba muestra un patrón interesante en términos de origen del código. La falta de medidas de seguridad implementadas por los bancos comerciales en América Latina y Europa del Este, ha abierto la puerta para que criminales victimicen a los cajeros automáticos en estas regiones. Aunque muy lentamente, también estamos asistiendo a la exportación de estas técnicas a otras regiones. Aunque todavía no hemos visto malware de cajero que se venda underground, es de esperar que se desarrolle en un futuro no muy lejano.
Cada una de las familias de malware antes mencionadas tiene una determinada función de puesta a punto que se puede distinguir por dos características principales: el tipo fabricante de cajeros automáticos y las capacidades específicas de malware. Tanto si se utiliza para copiar la entrada del usuario en la máquina, tales como números de tarjetas y códigos PIN, o para la retirada real de efectivo. Lo que el malware tiene en común es que se instala normalmente de forma manual a través de USB o la unidad de CD. 3. Familias de malware de cajero y sus orígenes geográficos

Estas conclusiones se basan en una investigación de Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) realizada con el fin de examinar el estado actual del malware de cajeros. El resultado es un documento completo que destaca la amenaza cibernética así como la evolución de los cajeros automáticos incluyendo un análisis de los nuevos métodos utilizados y los correspondientes planteamientos defensivos clave para las organizaciones interesadas en proteger negocios y clientes. Este informe conjunto es otro ejemplo del éxito de la colaboración entre la policía y la industria en la lucha contra ciberdelincuencia.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.