Opinión

Poner barreras al malware es el principal reto de la banca actual

Por Néstor Santolaya, CyberSecurity Product Expert de Auriga.

Dentro de los objetivos de digitalización e innovación tecnológica en el sistema financiero y sus instituciones, modernizar los cajeros automáticos (ATMs) y ampliar sus capacidades es una prioridad. Pero esta transición a infraestructuras más digitalizadas, que incluye la implantación de nuevas tecnologías, es también un reto para la ciberseguridad.

Los bancos centrales de todo el mundo, por supuesto, establecen directrices y políticas para disminuir los daños y gestionar la ciberseguridad, y esta es una práctica que ha de formar parte de las obligaciones y deberes de las entidades tanto para sus procesos internos como, por supuesto, en todos aquellos relacionados con sus clientes, incluyendo la realización de campañas de sensibilización y alfabetización digital frente a posibles amenazas de phishing, estafas telefónicas y spam malicioso. En este contexto los cajeros, al ser la cara visible que gestiona el efectivo, son un punto débil que lleva años sufriendo ataques de malware cuyo objetivo es el robo de información de los clientes o la dispensación ilícita del dinero almacenado.

Los ciberdelincuentes están cada vez más organizados y, desde el anonimato, emplean o contratan los servicios de otros grupos de delincuentes a través de los cuales generan campañas de ransomware, minería de datos o phishing, entre cuyas técnicas se encuentran las tradicionales de vishing, smishing o hishing u otras más recientes como el qrishing o el Browser in the Browser (BitB por sus siglas en inglés.

Ataques físicos y de fraude

Los ataques a los cajeros automáticos se pueden clasificar en dos categorías: ataques contra la propiedad física y ataques de fraude. Tener clara esta diferenciación es vital para elaborar una estrategia de seguridad holística, ya que cada uno presenta riesgos distintos y requiere medidas preventivas y respuestas concretas.

En cuanto a los de fraude, se pueden diferenciar también de dos tipos. Por un lado, los ataques que usan dispositivos de hardware físicos, o más comúnmente llamados de tipo Black Box, que se conectan con los periféricos del ATM para obtener acceso directo al efectivo (jackpotting) o a los datos de las tarjetas de crédito de los usuarios (skimming). Por otro, sin duda los ataques más sofisticados y peligrosos, son los realizados mediante software malicioso o malware que explotan vulnerabilidades en el software del cajero automático y en la conectividad de la red. El malware, creado para tomar el control del propio sistema del cajero, facilita las mismas acciones fraudulentas que las realizadas por los dispositivos Black Box pero de forma mucho menos intrusiva, lo que resulta mucho más dañino y conlleva menos riesgo para los atacantes, ya que pueden atacar cientos de ATMs de forma simultánea sin siquiera interactuar directamente con ellos. Estos ataques, que pueden permanecer ocultos durante un periodo prolongado y en muchos casos no llegan ni a ser descubiertos, provocan pérdidas económicas considerables a la entidad financiera, pero sobre todo afectan a su reputación y perjudican la confianza de los clientes.

Podemos listar algunos ejemplos de malware que aprovecha vulnerabilidades en modelos específicos de ATMs. Uno de los más conocidos es Ploutus, notorio por haberse ido adaptando durante más de diez años; NeoPocket, detectado en 2014; o Prilex, en su versión original de 2016, que se dirigía contra una vulnerabilidad específica de un modelo concreto de ATM. Otra vertiente de malwares específicos de ATMs son aquellos orientados a vulnerar las librerías de la capa XFS, específica de los cajeros, como pueden ser Green Dispenser, Alice, Tyupkin o FiXS.

Más atacantes, más líneas de código, ¡mejor protección!

Mediante la estandarización del malware y su éxito en diversos modelos de ATMs, el perfil medio del atacante ha pasado del experto técnico en el funcionamiento del ATM inicial a no requerir apenas conocimientos técnicos, ya que basta con tener acceso a dicho malware (comprándolo o adquiriendo una licencia) para poder realizar el ataque, lo que multiplica el alcance de esta amenaza.

Por todo ello, proteger el ATM frente a ciberataques no se debe limitar a impedir la fase de investigación, infección o activación en el ciclo de vida de desarrollo del malware, sino que además es crucial que se detecte a tiempo para evitar que se extienda. Tan importante es evitar que el ATM no sea atacado, como impedir que el malware pueda ejecutar la última fase de operación protegiendo el ATM frente a la eliminación de los datos y registro de ejecución de la operación de código fraudulento, característica que implementan la mayoría de familias de malware conocidas.

Junto con las ya tradicionales técnicas de monitorización activa, soluciones de segmentación de red o sistemas robustos de autenticación, es fundamental implementar soluciones de ciberseguridad de tipo Zero Trust que reduzcan la superficie de ataque a la mínima expresión y protejan el ATM como el dispositivo crítico de uso específico que es. Porque aplicar enfoques de protección basados en la desconfianza permite a los bancos protegerse no solo de las amenazas conocidas, sino también de los ataques realizados con herramientas legítimas o de todas las amenazas desconocidas que están por llegar.


Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.

Noticias Relacionadas

1 of 87

Leave A Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Secret Link
Revista Ciberseguridad
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.