Demuestran lo “fácil” que es hackear un cajero automático con un teléfono que tenga NFC

La pandemia ha generalizado más que nunca el uso de los teléfonos móviles como medios de pago tan válidos como una tarjeta bancaria. Al ser necesaria la distancia interpersonal y ser recomendable tocar objetos de manera innecesaria para evitar los contagios, el pago sin contacto con el móvil es ya algo habitual. Lo mismo ocurre con el acceso a los cajeros automáticos, que desde hace tiempo se puede llevar a cabo gracias a un teléfono con conectividad NFC, que puede a su vez integrar toda la información de estas tarjetas para poder operar con ellos. Como es lógico esta híper informatización y automatización de los servicios es algo que tiene sus riesgos, y los hemos conocido ahora gracias a un investigador.

Sacar dinero con el móvil de forma fraudulenta

Ha sido Joseph Rodríguez, un consultor de ciberseguridad de la empresa IOActive, quien ha demostrado lo sencillo que es para alguien experimentado acceder a un cajero automático y sacar el dinero que le parezca bien con solo utilizar ciertos subterfugios. Todo ello gracias a una app específica desarrollada para la ocasión y un móvil que tenga la misma conectividad NFC que se utiliza para poder sacar dinero de forma legal y ordinaria. Según este investigador “Estos dispositivos quedan inutilizables mediante la instalación de algún tipo de ransomware. Si atacas una computadora de un cajero automático, también puedes retirar dinero con un simple toque de tu teléfono inteligente”.

Desde luego no puede ser más inquietante el proceso, ya que demuestra que alguien con cierta preparación, un hacker con experiencia, podría acceder a las entrañas del cajero par que este le entregue el dinero necesario. El método utilizado por este investigador, permite que desde la app Android creada para tal uso, se puede atacar al cajero automático provocando un desbordamiento del búfer. Este bloquea el funcionamiento del cajero, y permite al hacker bloquear la memoria de este para poder ejecutar el software malicioso. Esto se consigue enviando paquetes de datos mucho más grandes de los que puede gestionar el cajero, y que por tanto provocan un bloqueo que lo deja a merced del hacker.

Lo más curioso de todo es que esto haya sido posible con el desarrollo de una app por parte de este investigador, y la ayuda de un móvil Android cualquiera con NFC, que puede tener un coste bastante ajustado. Esto no ha ocurrido ahora, sino que en su momento este investigador avisó a los proveedores de estos cajeros para que pudieran hacer frente a la amenaza. Un año después de haberlo hecho, parece que solo un porcentaje mínimo de los cajeros ha recibido un parche de seguridad que evite estas situaciones, el resto siguen siendo igual de vulnerables que antes. Este investigador se está planteando hacer públicos los datos que permiten acceder a los cajeros de esta forma, con la esperanza de que en ese momento los proveedores por fin tomen nota y de verdad se preocupen por hacer más seguros los cajeros, algo que básicamente va en detrimento de las entidades bancarias sobre todo.