Los investigadores de seguridad Brenda So y Trey Keone revelaron recientemente dos nuevas vulnerabilidades de día cero en cajeros automáticos populares en DefCon, lo que les permite recuperar datos de clientes bancarios y también hacer que el cajero automático “arroje dinero”.

En 2010, el difunto Barnaby Jack, un investigador de seguridad de renombre internacional, pirateó un cajero automático en vivo en el escenario de la conferencia de Black Hat, lo que le hizo escupir literalmente billetes de un dólar.

Barnaby Jack, un investigador de seguridad fallecido al que se le atribuye el primer ataque a los cajeros automáticos con premio mayor. Video: YouTube

Puedes ver el video completo de su actuación en YouTube.

Exactamente diez años después de esta charla, los investigadores de seguridad Brenda So y Trey Keone de Red Balloon, con sede en Nueva York, están introduciendo dos nuevas vulnerabilidades de día cero en los populares cajeros automáticos Nautilus. Este es un cajero automático minorista popular que se encuentra comúnmente en las tiendas para sacar dinero.

Las vulnerabilidades encontradas por los investigadores están dirigidas al software subyacente del cajero automático Nautilus, una versión de Windows de diez años que ya no es compatible con Microsoft.

Vulnerabilidad de dispensación de efectivo

Primero, compraron un cajero automático. Al rediseñar el software, descubrieron una vulnerabilidad en una capa de software conocida como XFS o Extensions for Financial Services, que el cajero automático usa para comunicarse con varios componentes de hardware, como un lector de tarjetas o una ranura para echar billetes.

El error no estaba en el sistema XFS en sí, sino en la forma en que el fabricante lo implementó en sus cajeros automáticos. El hecho es que cualquier dispositivo conectado a la misma red local puede acceder a la interfaz para enviar mensajes a XFS.

El envío de una solicitud maliciosa especialmente diseñada a través de la red expone una API XFS no autenticada a través de la cual se pueden ejecutar varios comandos, como la distribución de efectivo.

Después de enviar una solicitud desde una computadora portátil, el cajero automático comienza a tirar los billetes. 

Recepción de datos de clientes bancarios

La segunda vulnerabilidad se encontró en el software de gestión remota de cajeros automáticos, una herramienta incorporada que permite a los bancos administrar las redes de cajeros automáticos de forma remota, por ejemplo, para actualizar el software o verificar cuánto dinero queda.


Por lo general, los administradores de cajeros automáticos utilizan MoniView para enviar comandos al cajero automático. Para que estos comandos se ejecuten con éxito, el número de serie del cajero automático y la contraseña RMS se transmiten a través de la red. Sin embargo, un atacante podría enviar un paquete malicioso al servidor RMS a través de la red para provocar un error de desbordamiento del búfer. Este error puede provocar la ejecución de código arbitrario y su almacenamiento en la memoria del cajero automático. Al apuntar un cajero automático a un servidor malicioso, los piratas pueden comenzar a emitir facturas, así como a extraer números de tarjetas de crédito y datos de usuarios bancarios.

El proceso de hacking de un cajero
Después de insertar la tarjeta, Brenda ingresa un código PIN.
El panel de un cajero
El panel del servidor controlado muestra toda la información, incluido el número de tarjeta, la fecha de vencimiento y el código PIN.

Puedes ver el video completo del discurso en la conferencia DefCon aquí, y aquí puedes descargar el informe completo.

Los ataques exitosos a cajeros automáticos no son infrecuentes en estos días. Por ejemplo, en 2017, un grupo de piratas informáticos irrumpió en cajeros automáticos en toda Europa y sacó millones de euros en efectivo. Más recientemente, los piratas informáticos han robado software de los fabricantes de cajeros automáticos para crear sus propias herramientas de piratería.