Barnaby Jack, investigador de IOActive, ha conseguido atraer la atención de los asistentes a la conferencia de seguridad Black Hat al conseguir explotar brechas de seguridad en dos cajeros automáticos diferentes logrando que emitieran efectivo bajo demanda y almacenaran los datos sensibles de las tarjetas bancarias de los usuarios.

Jack demostró sus ataques sobre dos sistemas que había comprado para tal fin. Se trataba de cajeros automáticos del tipo que generalmente se encuentra en algunos bares y centros comerciales. Desde hace años, los delincuentes vienen tomando este tipo de sistemas como objetivo, utilizando rastreadores específicos para almacenar los datos de las tarjetas y números PIN de sus víctimas.

Según Jack, los fabricantes de cajeros Triton y Tranax ya han desarrollado parches para proteger las máquinas de este tipo de ataques. Tranax, en concreto, cubrió la vulnerabilidad en sus máquinas en noviembre de 2008.

Tranax había padecido problemas de seguridad con anterioridad. En 2006, un delincuente de Virginia (Estados Unidos) utilizó un código de teclado para reprogramar una de sus máquinas haciéndola interpretar que estaba entregando billetes de 5 dólares. Después, utilizando una tarjeta de débito el ladrón sacó billetes de 20 dólares consiguiendo que el sistema sólo restara de la cuenta una cuarta parte del dinero.

Con sólo una llamada telefónica

Pero, según Jack, existe una forma aún más fácil y preocupante de conseguir el efectivo. Basta simplemente con que los delincuentes se conecten con las máquinas haciendo una llamada telefónica -dado que gran parte de ellas tienen asociadas herramientas de gestión remota que son accesibles a través de un teléfono- y lanzando después el ataque.

Experimentando con sus propias máquinas, Jack ha desarrollado una forma de evitar el sistema de autenticación remota que brinda acceso a ellas e instalar a continuación un rootkit denominado Scrooge que le permite anular el firmware. Además, ha creado una herramienta de gestión online, Dillinger, capaz de rastrear las máquinas comprometidas y almacenar los datos de las personas que las utilizan.