Los cajeros automáticos parecen no ser tan seguros como debieran. Josep Rodríguez, un investigador de ciberseguridad de la firma IOActive, ha alertado sobre las graves vulnerabilidades de la tecnología NFC presente en estas máquinas. Estos fallos permiten desde extraer información de tarjetas hasta sacar dinero en efectivo, todo con un terminal Android como herramienta.
Wired cuenta que el investigador ha pasado el último año analizando las vulnerabilidades de los lectores NFC. Se trata de una tecnología que ha multiplicado su presencia en los últimos años. Presente en todo tipo de tiendas y cajeros automáticos, permite utilizar tarjetas simplemente apoyándolas sobre el dispositivo, es decir, no es necesario deslizarlas o insertarlas.
Rodríguez explica que ha desarrollado una aplicación para Android que imita las comunicaciones por radio de una tarjeta de crédito. De esta manera, aprovecha las fallas de la tecnología NFC y puede ejecutar una amplia variedad de ataques en un cajero automático. Por ejemplo, recopilar información de tarjetas, cambiar el valor de las transacciones y bloquear los dispositivos con un ransomware.
"Puedes modificar el firmware y cambiar el precio a un dólar, por ejemplo, incluso cuando la pantalla muestre que estás pagando 50 dólares. Puedes inutilizar el dispositivo o instalar una especie de ransomware. Hay muchas posibilidades aquí".
Josep Rodríguez, investigador de ciberseguridad de la firma IOActive
El problema de NFC puesto a prueba en un cajero automático de Madrid
Con el objetivo de demostrar las vulnerabilidades, Rodríguez compartió un vídeo con Wired en el que al pasar su teléfono por el lector NFC de un cajero de Madrid provoca un error. La máquina dejó de leer tarjetas, es decir, quedó inutilizable. El vídeo no ha sido difundido por cuestiones legales y éticas.
Sin embargo, esto no es todo. El investigador también descubrió que algunos cajeros automáticos pueden ser obligados a distribuir dinero en efectivo a través de métodos de jackpotting. "Puede retirar dinero con solo tocar su teléfono", indica Rodríguez, pero señala que este tipo de ataque solo es efectivo en dispositivos que combinan varios errores de software.
El consultor de ciberseguridad cuenta que los cajeros automáticos vienen arrastrando problemas desde hace décadas, ya que no reciben actualizaciones con regularidad. Los proveedores afectados han sido notificados hace casi un año por IOActive. Entre ellos se encuentran ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo y uno no identificado.