El hackeo de cajeros automáticos no es nada nuevo, pero ahora se ha descubierto una nueva forma de piratearlo en la que lo único que se necesita es un teléfono inteligente Android. El hallazgo lo realizado Josep Rodríguez, investigador y consultor de la firma de seguridad IOActive, con sede en Seattle (Washington), y lo ha adelantado el medio Wired.
Rodríguez ha pasado el último año investigando y reportando vulnerabilidades en lectores NFC utilizados en multitud de cajeros automáticos y sistemas de punto de venta en todo el mundo. Los sistemas NFC son una tecnología que está presente en todo tipo de tiendas y cajeros automáticos y que permite realizar un pago o extraer dinero simplemente pasando la tarjeta por un lector, en lugar de deslizarlas o insertarlas. Sin embargo, los fallos encontrados por Rodríguez los hace vulnerables a una variedad de problemas, como a ser bloqueados por un dispositivo cercano con NFC o a ser pirateados para extraer información de las tarjetas o para sacar dinero en efectivo.
Ha creado una app para Android que le permite explotar estos fallos
Según informa Wired, el investigador y consultor de IOActive ha desarrollado una aplicación para Android que permite que su smartphone imite las comunicaciones por radio de la tarjeta de crédito y aproveche las fallas en el firmware de los sistemas NFC. "Con un movimiento de su teléfono, puede explotar una variedad de errores para bloquear dispositivos de punto de venta, piratearlos para recopilar y transmitir datos de tarjetas de crédito, cambiar de manera invisible el valor de las transacciones e incluso bloquear los dispositivos mientras muestra un mensaje de ransomware", explica.
Rodríguez afirma que incluso puede obligar a al menos una marca de cajeros automáticos a distribuir dinero en efectivo, aunque puntualiza que ese truco solo funciona si se combina con errores adicionales que dice haber encontrado en el software de los cajeros.
"Puedes modificar el firmware y cambiar el precio a un dólar, por ejemplo, incluso cuando la pantalla muestra que estás pagando 50 dólares. Puedes inutilizar el dispositivo o instalar una especie de ransomware. Aquí hay muchas posibilidades", ha asegurado Rodríguez. "Si encadena el ataque y también envía una carga útil especial al dispositivo de un cajero automático, puede retirar dinero del cajero automático con solo pasar su teléfono".
Un problema que puede persistir
El investigador se ha negado a difundir públicamente estas vulnerabilidades, debido a los acuerdos de no divulgación con los proveedores de cajeros automáticos, pero ha subrayado que alertó a los proveedores afectados hace casi un año. Entre ellos se encuentran ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo y otro no identificado.
Rodríguez también advierte que muchos de esos dispositivos probablemente sigan siendo vulnerables por la gran cantidad de sistemas afectados y por el hecho de que muchos terminales de puntos de venta y cajeros automáticos no reciben actualizaciones de software con regularidad. "Parchear tantos cientos de miles de cajeros automáticos físicamente, es algo que requeriría mucho tiempo", declara Rodríguez.
Siguiendo siempre la información de Wired, el problema en cuestión radica en que la mayoría de terminales con NFC no validan el tamaño de los datos que se envían desde una tarjeta al lector, conocido como unidad de datos del protocolo de aplicación o APDU (por sus siglas en inglés).
"Al usar una aplicación personalizada para enviar una APDU cuidadosamente diseñada desde su teléfono Android habilitado con NFC, que es cientos de veces más grande de lo que espera el lector, Rodríguez pudo desencadenar un 'desbordamiento de búfer', un tipo de vulnerabilidad de software de hace décadas que permite al hacker corromper la memoria de un dispositivo objetivo y ejecutar su propio código", explica el citado medio.
En algunos casos, como Ingenico, los fabricantes indican que este tipo de ataque solo puede causar errores, pero no ejecutar código, y en este caso la compañía ya ha solucionado el fallo de seguridad que lo causaba. Verifone, por su parte, afirma que parcheó estas vulnerabilidades en 2018, pero el investigador asegura haber encontrado terminales en España que recientemente seguían estando expuestos.
Ha puesto a prueba el problema de NFC en un cajero de Madrid
Wired también informa que ha tenido acceso a un vídeo de Rodríguez en el que demuestra la existencia estas vulnerabilidades, pero que no ha querido difundir por cuestiones legales y éticas.
Según indica, está grabado en un cajero de Madrid, donde vive, y se ve cómo pasa su móvil por el lector NFC y automáticamente la maquina muestra un mensaje de error. Después, el cajero dejó de leer tarjetas de crédito reales que se colocaban delante del lector.
"Estas vulnerabilidades han estado presentes en el firmware durante años, y usamos estos dispositivos a diario para manejar nuestras tarjetas de crédito, nuestro dinero. Necesitan estar asegurados", subraya Rodríguez.