WWWhat's new

Es posible hackear un cajero automático usando un móvil con NFC

hackear cajero

Cuando hablamos de seguridad en el mundo de la informática, parece que los hackers siempre están por delante. Hay miles de personas buscando agujeros de seguridad constantemente, y los profesionales de seguridad de las empresas se encargan de ir tapándolos a medida que quedan expuestos.

Ahora se ha vuelto a demostrar esta teoría con algunos cajeros automáticos, vulnerables a teléfonos móviles con NFC.

Está claro que hackear un cajero automático puede tener un interés enorme para los criminales. Hay mucho dinero dentro de esas máquinas, por lo que violar la seguridad puede significar un enriquecimiento inmediato difícil de rastrear, pero además del dinero hay algo que puede ser aún más sabroso: datos.

El caso es que hackear un cajero automático por una puerta USB ya no es tan fácil como antes, pero hacerlo sin cables sí lo es. No es necesario romper nada, y según Wired, hay pruebas de que Josep Rodríguez, un investigador de la firma de seguridad IOActive, ha identificado errores relacionados con la forma en que se transmiten los datos en sistemas NFC. Por lo visto muchos cajeros confían en NFC para enviar datos como números de tarjetas de débito y crédito de sus clientes. En el artículo de Wired hay un vídeo mostrando el error.

En las pruebas, usó lectores NFC y consiguió provocar un error de desbordamiento de buffer, enviando más datos de los que la máquina consigue procesar. Ese error ha sido suficiente para recuperar datos de tarjetas de clientes, pero también ha permitido inyectar malware o engañar a máquinas de comercios, indicando que se está pagando 50 dólares cuando en realidad solo se paga uno, por ejemplo.

Puedes modificar el firmware y cambiar el precio a un dólar, por ejemplo, incluso cuando la pantalla muestra que estás pagando 50 dólares. Puedes inutilizar el dispositivo o instalar una especie de ransomware. Hay muchas posibilidades aquí […] Si encadena el ataque y también envía una carga útil especial a la computadora de un cajero automático, puede ganar dinero en el cajero automático, como retirar dinero, con solo tocar su teléfono.

Para hacerlo, Josep desarrollo una app android que imita las comunicaciones de la tarjeta de crédito. De esa forma, y aprovechando los agujeros de seguridad y errores de los sistemas NFC, conseguía desde bloquear dispositivos a robar datos privados.

Por motivos legales, el consultor no puede decir cuáles son las empresas víctimas, pero ya que los problemas no se solucionan, y hace un año que los identificó, tiene pensado dar detalles técnicos durante las próximas semanas, algo que podría causar tanto la solución inmediata de los problemas como el uso de estas apps por parte de hackers de todo el mundo.

Salir de la versión móvil