Durante años, los investigadores de seguridad y los ciberdelincuentes han pirateado cajeros automáticos utilizando todas las vías posibles para llegar a sus entrañas, desde abrir un panel frontal y pegar una memoria USB en un puerto USB hasta perforar un agujero que expone el cableado interno. Ahora, un investigador ha encontrado una colección de errores que le permiten piratear cajeros automáticos, junto con una amplia variedad de terminales de punto de venta, de una nueva manera: con un movimiento de su teléfono sobre un lector de tarjetas de crédito sin contacto.
Josep Rodríguez, investigador y consultor de la empresa de seguridad IOActive, pasó el último año investigando y reportando vulnerabilidades en los llamados chips lectores de comunicaciones de campo cercano que se usan en millones de cajeros automáticos y sistemas de puntos de venta en todo el mundo. Los sistemas NFC son los que le permiten pasar una tarjeta de crédito sobre un lector, en lugar de deslizarla o insertarla, para realizar un pago o extraer dinero de un cajero automático. Puede encontrarlos en innumerables tiendas minoristas y mostradores de restaurantes, máquinas expendedoras, taxis y parquímetros en todo el mundo.
Ahora, Rodríguez ha creado una aplicación para Android que permite que su teléfono inteligente imite las comunicaciones de radio de las tarjetas de crédito y aproveche las fallas en el firmware de los sistemas NFC. Con un movimiento de su teléfono, puede explotar una variedad de errores para colapsar dispositivos de punto de venta, piratearlos para recopilar y transmitir datos de tarjetas de crédito, cambiar de manera invisible el valor de las transacciones e incluso bloquear los dispositivos mientras muestra un mensaje de ransomware. . Rodríguez dice que incluso puede obligar a al menos una marca de cajeros automáticos a entregar efectivo, aunque ese truco de “ganar dinero” solo funciona en combinación con errores adicionales que dice que ha encontrado en el software de los cajeros automáticos. Se negó a especificar o revelar esas fallas públicamente debido a acuerdos de confidencialidad con los proveedores de cajeros automáticos.
“Puedes modificar el firmware y cambiar el precio a un dólar, por ejemplo, incluso cuando la pantalla muestra que estás pagando 50 dólares. Puedes inutilizar el dispositivo o instalar una especie de ransomware. Hay muchas posibilidades. aquí”, dice Rodríguez sobre los ataques a los puntos de venta que descubrió. “Si encadena el ataque y también envía una carga útil especial a la computadora de un cajero automático, puede ganar dinero en el cajero automático, como retirar dinero, simplemente tocando su teléfono”.
Rodríguez dice que alertó a los proveedores afectados, que incluyen a ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo y el proveedor de cajeros automáticos anónimo, sobre sus hallazgos hace entre siete meses y un año. Aun así, advierte que la gran cantidad de sistemas afectados y el hecho de que muchas terminales de puntos de venta y cajeros automáticos no reciben regularmente actualizaciones de software, y en muchos casos requieren acceso físico para actualizar, significa que muchos de esos dispositivos probablemente siguen siendo vulnerables. “Parchear tantos cientos de miles de cajeros automáticos físicamente, es algo que requeriría mucho tiempo”, dice Rodríguez.
Como demostración de esas vulnerabilidades persistentes, Rodríguez compartió un video con WIRED en el que pasa un teléfono inteligente sobre el lector NFC de un cajero automático en la calle de Madrid, donde vive, y hace que la máquina muestre un mensaje de error. El lector de NFC parece bloquearse y ya no lee su tarjeta de crédito la próxima vez que la toca con la máquina. (Rodríguez pidió que WIRED no publicara el video por temor a responsabilidad legal. Tampoco proporcionó una demostración en video de un ataque de jackpot porque, dice, solo podía probarlo legalmente en máquinas obtenidas como parte de la consultoría de seguridad de IOActive para el proveedor de cajeros automáticos afectado, con quien IOActive ha firmado un NDA.)
Los hallazgos son “una excelente investigación sobre la vulnerabilidad del software que se ejecuta en dispositivos integrados”, dice Karsten Nohl, fundador de la firma de seguridad SRLabs y conocido pirata informático, quien revisó el trabajo de Rodríguez. Pero Nohl señala algunos inconvenientes que reducen su practicidad para los ladrones del mundo real. Un lector NFC pirateado solo podría robar datos de tarjetas de crédito de banda magnética, no el PIN de la víctima ni los datos de los chips EMV. Y el hecho de que el truco del retiro del cajero automático requiera una vulnerabilidad distinta y adicional en el código del cajero automático objetivo no es una advertencia menor, dice Nohl.
Pero los investigadores de seguridad como el difunto pirata informático IOActive Barnaby Jack y el equipo de Red Balloon Security han podido descubrir esas vulnerabilidades de los cajeros automáticos durante años e incluso han demostrado que los piratas informáticos pueden activar el jackpot de cajeros automáticos de forma remota. El CEO y científico jefe de Red Balloon, Ang Cui, dice que está impresionado con los hallazgos de Rodríguez y tiene pocas dudas de que piratear el lector NFC podría conducir a la dispensación de efectivo en muchos cajeros automáticos modernos, a pesar de que IOActive ocultó algunos detalles de su ataque. “Creo que es muy plausible que una vez que tenga la ejecución del código en cualquiera de estos dispositivos, pueda acceder directamente al controlador principal, porque está lleno de vulnerabilidades que no se han solucionado en más de una década”, Cui. dice. “A partir de ahí”, agrega, “puedes controlar absolutamente el dispensador de cassettes” que retiene y libera efectivo a los usuarios.
Rodríguez, quien ha pasado años probando la seguridad de los cajeros automáticos como consultor, dice que comenzó a explorar hace un año si los lectores de tarjetas sin contacto de los cajeros automáticos, vendidos con mayor frecuencia por la firma de tecnología de pago ID Tech, podrían servir como una vía para piratearlos. . Empezó a comprar lectores NFC y dispositivos de punto de venta de eBay y pronto descubrió que muchos de ellos tenían la misma falla de seguridad: no validaban el tamaño del paquete de datos enviado a través de NFC desde una tarjeta de crédito al lector. conocida como unidad de datos de protocolo de aplicación o APDU.
Mediante el uso de una aplicación personalizada para enviar una APDU cuidadosamente diseñada desde su teléfono Android habilitado para NFC que es cientos de veces más grande de lo que espera el lector, Rodríguez pudo desencadenar un “desbordamiento de búfer”, un tipo de vulnerabilidad de software con décadas de antigüedad que permite que un hacker para corromper la memoria de un dispositivo de destino y ejecutar su propio código.
Cuando WIRED se comunicó con las empresas afectadas, ID Tech, BBPOS y Nexgo no respondieron a las solicitudes de comentarios, y la Asociación de la Industria de Cajeros Automáticos se negó a comentar. Ingenico respondió en un comunicado que, debido a sus mitigaciones de seguridad, la técnica de desbordamiento de búfer de Rodríguez solo podía bloquear sus dispositivos, no obtener la ejecución del código en ellos, pero que, “teniendo en cuenta las molestias y el impacto para nuestros clientes”, emitió una solución de todos modos. . (Rodríguez responde que tiene dudas de que las mitigaciones de Ingenico realmente impidan la ejecución del código, pero en realidad no ha creado una prueba de concepto para demostrar esto).
Verifone, por su parte, dijo que había encontrado y solucionado las vulnerabilidades de los puntos de venta que Rodríguez destacó en 2023 mucho antes de que las informara. Pero Rodríguez argumenta que esto solo demuestra la falta de parches consistentes en los dispositivos de la empresa; dice que probó sus técnicas NFC en un dispositivo Verifone en un restaurante el año pasado y descubrió que seguía siendo vulnerable.
Después de mantener muchos de sus hallazgos en secreto durante un año completo, Rodríguez planea compartir los detalles técnicos de las vulnerabilidades en un seminario web en las próximas semanas, en parte para alentar a los clientes de los proveedores afectados a implementar los parches que las empresas han puesto a disposición. . Pero también quiere llamar la atención sobre el estado abismal de la seguridad de los dispositivos integrados en términos más generales. Se sorprendió al descubrir que vulnerabilidades tan simples como los desbordamientos de búfer han persistido en tantos dispositivos de uso común, los que manejan efectivo e información financiera confidencial, nada menos.
“Estas vulnerabilidades han estado presentes en el firmware durante años, y usamos estos dispositivos a diario para manejar nuestras tarjetas de crédito, nuestro dinero”, dice. “Necesitan ser asegurados”.
Esta historia apareció originalmente en wired.com.