Dentro de los objetivos de digitalización e innovación tecnológica en el sistema financiero y sus instituciones, modernizar los cajeros automáticos (ATM, por sus siglas en inglés) y expandir las capacidades que estos ofrecen son acciones que van en paralelo con la ciberseguridad.
La creciente conectividad de los cajeros en esta transición a infraestructuras más digitalizadas e implantación de nuevas tecnologías también incluyen más vulnerabilidades que requieren una respuesta proactiva en términos de seguridad.
Junto con las ya tradicionales técnicas de monitorización activa, segmentación de red o autenticación robusta, es fundamental implementar soluciones de ciberseguridad de tipo Zero Trust, que reduzcan la superficie de ataque a la mínima expresión y protejan el ATM, considerándolo un dispositivo crítico de uso específico.
Con este contexto, los bancos centrales de todo el mundo establecen directrices y políticas para disminuir los daños.
Por ejemplo, el Banco de México (Banxico) en su Estrategia de Ciberseguridad 2024-2027 distingue cinco grupos de actores de amenaza, incluidos los más costosos para la infraestructura bancaria y la confianza de los clientes.
Los cinco grupos de actores amenazas para Banxico
Para Banxico, el primer grupo son las “Amenazas Persistentes Avanzadas” (APT, por sus siglas en inglés), cuya motivación es, principalmente, el acceso prolongado y control remota de los sistemas críticos de la red interna del banco.
Dentro de ella, los atacantes podrían realizar desde el sigilo ataques mucho más rápidos, dañinos y eficientes, como despliegue remoto de malware en los ATM desde sistemas de distribución confiados, robo de información de los clientes o sabotaje de los dispositivos internos de gestión de las transacciones, como se pudo ver a finales del año pasado mediante el ataque con el Malware FastCash Linux.
El segundo, los que tienen que ver con incidentes que causan fugas de información, sustracción de recursos financieros, espionaje o afectaciones a la operación.
En este grupo entran todos los ataques físicos o lógicos con infección física en el ATM, ya sea con malware o dispositivos black box, además de sabotajes, ataques de los propios empleados de la banca comprometidos o ataques con técnicas de fuerza bruta como los mostrados en las diversas técnicas de ataques a la propiedad.
El tercero, los que desde el anonimato emplean o contratan los servicios de otros grupos de delincuentes, a través de los cuales generan campañas de ransomware, minería de datos o las diversas técnicas de phishing, entre las cuales se encuentran las tradicionales de vishing, smishing, hishing o las más recientes como el qrishing o el browser in the browser (BitB), entre otras.
El cuarto, los que usan la inteligencia artificial (AI, por sus siglas en inglés) para engañar, defraudar, usurpar o cometer otro tipo de delito basados normalmente en ataques de ingeniería social.
Por último, el grupo de amenazas que no están clasificados, que han desarrollado herramientas capaces de causar daño a la infraestructura del banco.
Dos tipos de ataque a los ATM
El informe Seguridad en cajeros automáticos, un reto físico y virtual de Auriga detalla uno a uno los ataques y su evolución; con especial detalle en la importancia de las medidas proactivas para proteger las redes de cajeros automáticos y sus clientes en coincidencia con las preocupaciones globales.
Los cajeros automáticos atraen una variedad de riesgos que se pueden clasificar en dos categorías: ataques contra la propiedad física y ataques de fraude.
Tener clara esta diferenciación es vital para elaborar una estrategia de seguridad holística, ya que cada tipo de ataque presenta riesgos distintos, que requieren medidas preventivas y respuestas adaptadas por parte de las instituciones financieras para garantizar una seguridad sólida.
A pesar de que los ataques de fuerza a los propios cajeros automáticos (robos con explosivos, alunizajes, ataques a la caja fuerte, etcétera) a menudo concentran la atención por su magnitud o vistosidad, son los ataques de fraude los que pueden provocar los daños más severos; tanto en términos económicos como en la reputación de las instituciones financieras.
El papel del malware en los ataque a los ATM
Entre los diversos ataques de fraude se encuentran los ataques que usan dispositivos de hardware físicos, o más comúnmente llamados de tipo black box, que se conectan con los periféricos del ATM para obtener acceso directo al efectivo (jackpotting) o a los datos de las tarjetas de crédito de los usuarios (skimming).
Sin embargo, dentro de los ataques de fraude existe una vertiente mucho más sofisticada y peligrosa cuyo objetivo es exactamente el mismo, pero lo logran mediante malware a través de la explotación de vulnerabilidades en el software del cajero automático y en la conectividad de la red.
El malware, creado para tomar el control del propio sistema del cajero, facilita a los intrusos la realización de las mismas acciones fraudulentas que las realizadas por los dispositivos black box, pero de forma mucho menos intrusiva y más dañina.
Esto debido a que puede pasar desapercibido por mucho más tiempo, a la par que conlleva menos riesgo para los atacantes, ya que en muchos casos pueden atacar cientos de ATM de forma simultánea sin siquiera interactuar directamente con los equipos.
Los ataques de malware, al ser menos perceptibles, pueden permanecer ocultos durante un periodo prolongado, y en muchos casos, jamás son descubiertos, provocando pérdidas económicas considerables a la entidad financiera, pero sobre todo afectando a su reputación y perjudicando la confianza que tienen los clientes sobre la seguridad que ofrece el banco.
