Dos 'hackers' españoles demuestran lo sencillo que es desvalijar un cajero

Dos expertos españoles en seguridad informática, Rubén Garrote y Rubén Ródenas, miembros del equipo de Hacking Ético de CyberSOC en Deloitte, han desarrollado un ‘software’ capaz de sortear las medidas de seguridad de los cajeros automáticos, acceder a las partes más sensibles de su código, y enviar comandos para que, entre otras cosas, se pongan a dispensar billetes.

Como parte de su labor de auditoría, que consiste en encontrar vulnerabilidades para que los bancos puedan corregirlas, han descubierto lo sencillo que podría llegar a resultar para un cibercriminal, si consigue acceso al sistema, ir superando las distintas barreras del cajero hasta llegar a ese punto. Sin embargo, el robo de dinero no es lo que más les alarma. “Nuestros clientes, de hecho, nos transmiten que su preocupación no es el dinero en efectivo, que va asegurado, sino el robo de tarjetas, la realización de transacciones bancarias y el robo de números de cuenta”, explican a HojaDeRouter.com.

Pero llevar a cabo esta investigación no ha sido sencillo. Hace unos meses, Garrote y Ródenas decidieron dar el salto definitivo y hacerse con un auténtico cajero. Uno como los que usamos a diario, para poder inspeccionarlo y conocer mejor su mecanismo. Sin embargo, tal y como relataron en el congreso de seguridad Rooted CON, que se celebró la pasada semana en Madrid, no fuera tarea fácil, ya que la compra de cajeros por parte de particulares se mueve en una suerte de limbo legal.

Después de un conato de compra de un cajero chino, que acabaron cancelando por la poca transparencia de la transacción, estos dos entusiastas consiguieron hacerse en febrero con un par de máquinas que les vendió un proveedor turco. “Tener un cajero nos permite desarrollar aplicaciones específicas de auditoría con total libertad y sin límite de tiempo”, detallan.

Su trabajo se basa en esquivar las protecciones del sistema. Cada vez que consiguen saltarse una medida de seguridad, aprenden sobre ella y pueden dar consejos sobre cómo mejorarla. Lamentablemente, ese conocimiento adquirido no suele transmitirse entre investigadores, de forma que a menudo es necesario comenzar de cero (o casi) en cada auditoría. Para solucionar este problema, Garrote y Ródenas buscaron una forma de simplificar el proceso y comenzaron a desarrollar un ‘software’ capaz de localizar y de utilizar esos agujeros de seguridad de forma automática.

“Vimos la necesidad de centralizar las diferentes pruebas sobre ATMs [cajeros automáticos] para que el siguiente compañero que tuviera que auditar partiera de esa batería de pruebas como base y no tuviera que reinventar la rueda”, señalan. Así nació TLOTA, el programa todavía en fase 'beta' que les ha permitido sortear las protecciones de los dispensadores de dinero.

Una vez ejecutado, este ‘software’ es capaz de saltarse las barreras de seguridad por sí mismo, hasta llegar, por ejemplo, a dispensar dinero, algo que ya han podido comprobar en varias pruebas. Sin embargo, podemos estar tranquilos. El programa está en buenas manos y no implementa métodos de ocultación ni persistencia, por lo que basta con cancelar el proceso para que deje de funcionar. “Es una herramienta para auditoria, no un 'malware'. El 'software' debe ser ejecutado conscientemente”, remarcan.

Los expertos señalan que el código final de TLOTA se escribió en pocas horas, una vez que decidieron recopilar todas las piezas de programas que tenían sueltos para llevar a cabo diferentes pruebas. Además, se trata de “un 'software' vivo, en constante proceso de ampliación y mejora”.

El asalto a los cajeros

Una vez que ha superado los obstáculos hasta llegar a las capas más bajas del sistema, TLOTA está programado para enviar los comandos que el cajero espera recibir para realizar ciertas acciones (por ejemplo, sacar dinero), sin que sea necesario que en la capa más alta (la que ve el usuario en la pantalla de la máquina) se introduzca el PIN o se pulsen los botones que darían esa misma orden.

Aunque visualmente lo más impactante a la hora de ejecutar este programa es que el cajero, si no está debidamente protegido, dispensará dinero como muestra inequívoca de la toma de control de la terminal, también podría ser programado con otros objetivos. “Se puede llevar a cabo el robo de tarjetas, de PIN, etcétera, con el mismo esfuerzo técnico y código, simplemente cambiando el código del comando a enviar”, explican.

Pero, ¿es realmente tan fácil hacerse con el control de un cajero? ¿Bastaría con ejecutar un ‘malware’ que funcionara de forma similar a TLOTA? Aunque es cierto que muchos de estos cajeros funcionan con sistemas operativos anticuados que facilitan la tarea, lo cierto es que para un atacante real sería un poco más complejo. Antes de ejecutar su herramienta, un delincuente tendría que obtener acceso al sistema, algo que los auditores ya tienen.

Según explican los expertos, los cajeros pueden estar conectados con su banco a través de la red corporativa de la sucursal, si son los típicos que se encuentran en la fachada, o directamente a través de internet si son terminales situadas en lugares como una estación de metro o un centro comercial (por eso mismo, estos últimos es recomendable evitarlos en la medida de lo posible).

Por ello, su infección podría producirse de una forma similar a la de cualquier otro ordenador corporativo o doméstico. “Desde un técnico que utiliza internet en ese ordenador para poder instalar el último parche o leer su correo corporativo, o simplemente mediante algún gusano que explote algún fallo para el que es vulnerable y que esté moviéndose en dicha red”, concretan Ródenas y Garrote. “También hay casos en los que los técnicos infectan los cajeros para poder delinquir”.

Por otra parte, también puede suceder que ya haya un ‘malware’ controlando el ordenador de un cajero sin que nadie lo sepa. Tal vez haya caído en las garras de un cibercriminal como parte de una red de ordenadores zombis (las famosas 'botnets') y solo se descubra que se trata de un cajero automático cuando el control de esos equipos cambie de manos, por ejemplo a través de alguna transacción en la internet oscura. Aunque el comprador tenga fines algo más inofensivos (por ejemplo, llevar a cabo una campaña de 'spam'), al descubrir que se trata de un dispensador de dinero podría decidir cambiar de planes.

A pesar de que no sea tan sencillo introducirse en un cajero, los ataques y el robo de efectivo y de cuentas no son solo escenarios hipotéticos. Ya se han dado casos en diversos puntos del globo. Cobalt, por ejemplo, fue un 'malware' detectado en 2016, distribuido por toda Europa y parte de Asia, que utilizaba un sistema de propagación mediante campañas de 'phising' y con el que los delincuentes informáticos expulsaban dinero de cajeros que era recogido por mulas. ADPIN, otro 'software' malicioso localizado en Europa y Asia y descubierto por primera vez en 2014, infectaba los cajeros mediante un CD que los atacantes introducían en las terminales.

Green Dispenser, que apareció en septiembre de 2015 en México, mostraba un mensaje de ‘fuera de servicio’ pudiendo vaciar el cajero al introducir un código en concreto en el teclado PIN”, añaden Ródenas y Garrote. Además, este 'malware' disponía de forma seguro para eliminarse y no dejar rastro, dificultando mucho las tareas de investigación.

----------------------------------------------------------

La imagen principal de este artículo es propiedad de Rubén Garrote y Rubén Ródenas