La seguridad en los cajeros es puesta a prueba constantemente por los hackers y ladrones de todo el mundo, donde llegan a utilizar técnicas de lo más complejo para conseguir robar dinero a los bancos o a los usuarios. Ahora, han descubierto uno de los métodos más sutiles hasta la fecha, donde sólo tienen que pasar el móvil por el lector NFC para robar dinero.
Josep Rodriguez, un investigador y consultor en la empresa de ciberseguridad IOActive, ha pasado el último año analizando y reportando vulnerabilidades del NFC que usan los móviles, tarjetas y cajeros en todo el mundo. Con él, podemos usar la tarjeta para pagar con sólo pasarla por encima de un datáfono, siendo más rápido, cómodo y seguro en términos de posible transmisión de virus.
Robar dinero sin límite: el alcance de los fallos
Sin embargo, el investigador ha creado una app que permite que un móvil pueda emular a una tarjeta de crédito y aprovechar vulnerabilidades. Con sólo pasar el móvil para pagar, puede hacer que la terminal de venta se cuelgue, hacer que envíen información de tarjetas de crédito, cambiar el valor de las transacciones, o bloquear dispositivos a la vez que muestran un mensaje de rescate de ransomware.
Además de estos ataques en multitud de cajeros y puntos de venta, hay una marca concreta de cajeros que puede hackearse para que dispense dinero, aunque la vulnerabilidad de NFC ha de usarse junto a otras propias del software del cajero. Sus detalles no se conocen porque el fabricante está todavía parcheándolas.
Entre las empresas afectadas se encuentran ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo y otra cuyo nombre no ha trascendido porque es la que empresa cuyos cajeros pueden hackearse para que saquen dinero gratis sin límite. Los fabricantes conocen las vulnerabilidades desde hace 7 o hasta 12 meses, pero algunos todavía no han sido actualizados porque no tienen mecanismos de actualización remoto, teniendo que usar llaves especiales para acceder al interior y poder actualizarlos.
Para demostrar que hay muchos que no han actualizado todavía, Josep Rodríguez mostró en un vídeo cómo, con sólo pasar el móvil por el lector de un cajero en Madrid (donde reside), puede generar un error en la pantalla del cajero. Tras ello, el lector NFC deja de funcionar y no detecta ninguna tarjeta.
El vídeo no ha sido publicado para evitar repercusiones legales de la entidad o el fabricante. Además, tampoco ha mostrado un vídeo de cómo puede hacer que un cajero suelte dinero, ya que sólo puede hacerlo legalmente con cajeros que la empresa IOActive ha obtenido a través de la consultoría de seguridad que está haciendo con la empresa que los fabrica, y con la que ha firmado un NDA.
Las actualizaciones llegan tarde o no llegan
Otros investigadores han revisado las vulnerabilidades, y aunque afirman que son muy graves, algunas de ellas tienen un alcance limitado. Por ejemplo, a la hora de robar datos de otras tarjetas, éstas tienen que haberse pasado con la banda magnética, y no puede robarse ni el PIN ni la información de los chips que lleva.
Sólo dos fabricantes han confirmado la existencia de las vulnerabilidades: Ingenico y Verifone. Ingenico ha confirmado el buffer overflow que permite hacer que se cuelguen los lectores no lleva a la ejecución de código, y que han arreglado el fallo. Verifone también dice haber parcheado las suyas ya en 2018, antes de este reporte. El problema es que las actualizaciones que reciben los dispositivos son poco consistentes, y algunos de ellos siguen teniendo la vulnerabilidad.
Rodríguez mostrará en detalle cómo funcionan las vulnerabilidades en las próximas semanas con el fin de empujar a los fabricantes para que actualicen los dispositivos. Además, esto pone de manifiesto lo inseguros que son los pagos por NFC en la actualidad, ya que, aunque usan cifrados seguros, muchos de ellos pueden ser vulnerables por no recibir a tiempo las actualizaciones.
Leovankis Cornielle S.
No hay comentarios:
Publicar un comentario