Cajeros automáticos y terminales de punto de venta vulnerables a ataques vía NFC

Los cajeros automáticos y los terminales de punto de venta han sido uno de los objetivos de los investigadores de ciberseguridad durante los últimos años. Desde que Barnaby Jack asombrara a todo el mundo en su mítica charla en la Black Hat de 2010, muchos han sido los que han seguido sus pasos y han descubierto importantes agujeros de seguridad en estos dispositivos. Una investigación reciente demuestra cómo es posible hackear uno de estos dispositivos sin ni siquiera tocarlo.

Una aproximación diferente

Durante todos estos años, la mayoría de investigaciones que buscaban encontrar agujeros de seguridad en cajeros automáticos y terminales de punto de venta requerían de un acceso físico. De esta forma hemos visto que se podía modificar el funcionamiento de estos dispositivos, ya sea utilizando un pendrive usb o accediendo a sus entrañas con medios poco ortodoxos y usando herramientas como un taladro.

Sin embargo, el investigador Josep Rodriguez ha publicado recientemente las conclusiones de la investigación que ha realizado durante el último año, en la que ha descubierto varias vulnerabilidades que pueden aprovecharse para explotar fallos en los lectores de chips NFC presentes en millones de cajeros automáticos y terminales de punto de venta en todo el mundo.

Con el incremento en el uso de esta tecnología, acelerado sin duda alguna por la crisis sanitaria provocada por la pandemia de la COVID-19, esta investigación resulta especialmente interesante, ya puede ayudar a los fabricantes de los dispositivos afectados a solucionar estos errores antes de que los delincuentes los aprovechen (si no lo están haciendo ya).

Varias posibilidades para nuevos tipos de ataque

En una entrevista a Wired, Josep indica que ha creado una aplicación de Android que le permite, mediante un smartphone, imitar las comunicaciones que realizan las tarjetas de crédito con los dispositivos vulnerables y aprovechar los fallos existentes. Puede, entre otras cosas, hacer que dejen de funcionar, recopilar y enviar datos de tarjetas de crédito, cambiar el valor de las transacciones o incluso bloquearlos mostrando una pantalla similar a la de un ransomware.

Este investigador afirma que, con una marca específica de cajeros automáticos, puede incluso hacer que dispensen dinero con solo acercar su smartphone al lector NFC. Todas las empresas afectadas ya han sido informadas acerca de estos fallos, aunque al necesitar muchos de estos dispositivos de un acceso físico para solucionar las vulnerabilidades, es posible que muchas de ellas permanezcan vulnerables durante varios años.

Como prueba de concepto, Josep ha mostrado un vídeo donde consigue que un terminal de punto de venta, como los que utilizamos para pagar en todo tipo de comercios, muestre un mensaje de error al acercar su smartphone, dejándolo inservible. Aun así, estos ataques también tienen sus limitaciones, como, por ejemplo, que un lector NFC comprometido se podría usar para robar los datos almacenados en la banda magnética de la tarjeta de crédito pero no el código PIN ni la información almacenada en el chip. De la misma forma, para lograr que un cajero “escupiese” dinero, requiere utilizar vulnerabilidades adicionales, algo que dificultaría pero no imposibilitaría estos ataques.

Conclusión

Estas investigaciones resultan muy interesantes ya que pueden anticipar el tipo de ataques que pueden sufrir estos dispositivos en el futuro. Es posible, incluso, que ya se estén produciendo a pequeña escala, y por ese motivo los fabricantes y responsables de mantener la seguridad de cajeros y puntos de venta deberían prestar atención a las conclusiones extraídas de investigadores como Josep Rodriguez, puesto que gracias a ellos descubrimos y se pueden solucionar agujeros de seguridad antes que sean aprovechados de forma masiva por los delincuentes.

Josep Albors

“Movistar: Aviso importante”. Cuidado con este correo malicioso que descarga malware