Consiguen 'hackear' cajeros automáticos usando solo el NFC de un teléfono móvil
Durante años los ciberdelincuentes han aplicado diversos mecanismos para vulnerar cajeros automáticos y ahora un especialista de la firma de seguridad IOActive ha identificado un nuevo método utilizando únicamente un teléfono móvil con NFC, informa el portal Wired.
Josep Rodríguez, investigador y consultor, recopiló una serie de errores que afectan a los sistemas NFC o de comunicación de campo cercano, que se utilizan en millones de cajeros automáticos y sistemas de puntos de venta en todo el mundo para transmitir datos de forma inalámbrica, incluida la información de tarjetas de débito y crédito.
El especialista desarrolló una aplicación para Android que permite que su teléfono imite las comunicaciones por radio de la tarjeta de crédito y aproveche los fallos en el 'firmware' de los sistemas NFC. El método básicamente consiste en desencadenar un "desbordamiento de búfer" que permite corromper la memoria de un dispositivo y ejecutar su propio código.
De esta manera con solo un movimiento de muñeca consiguió bloquear dispositivos de puntos de venta, 'hackearlos' para recopilar y transmitir datos de tarjetas de crédito y cambiar sin que se note el valor de las transacciones. Incluso, asegura que pudo hacer que al menos a una marca de cajeros automáticos entregara dinero en efectivo, gracias a una combinación con errores adicionales encontrada en el 'software' de los equipos.
Rodríguez dice que hace casi un año alertó a los proveedores de dispositivos afectados, pero que una gran cantidad de ellos no reciben actualizaciones de 'software' con regularidad, lo que significa que muchos de esos dispositivos probablemente siguen siendo vulnerables.
"Estas vulnerabilidades han estado presentes en el 'firmware' durante años, y usamos estos dispositivos a diario para manejar nuestras tarjetas de crédito, nuestro dinero. Necesitan estar asegurados", agrega Rodríguez.