Fuente: SearchSecurity.com

Un investigador de seguridad de Juniper Networks Inc. quien preveía demostrar una manera de hackear el software de un cajero automático en el evento de seguridad Black Hat en Las Vegas retiró su presentación a petición de un proveedor de ATM.

La presentación de Barnaby Jack, “Jackpotting cajeros automáticos,” que iba a tener lugar el 30 de julio, fue sacada de la lista el lunes 29 de junio. En una declaración, el proveedor dijo que recibió una solicitud para retirar la presentación de un proveedor de cajeros automáticos.

“Juniper cree que la investigación de Jack es importante y que se presentaría en un foro público a fin de promover el estado de la seguridad. Sin embargo, el proveedor de ATM afectado nos ha expresado preocupación sobre la revelación pública de los resultados de la investigación antes de que sus constituyentes estén plenamente protegidos”, dijo Juniper. “Considerando el alcance y la posible exposición de este tema con otros proveedores, Juniper decidió aplazar la presentación de Jack hasta que todos los proveedores afectados hayan abordado suficientemente los temas que se encuentran en su investigación”.

Jack habría demostrado una forma de atacar el software subyacente de una línea popular de nuevo modelo de cajeros automáticos. La presentación habría abordado vectores para ataques locales y remotos, y terminaría con una demostración en vivo en un cajero automático nuevo, sin modificaciones.

“Estamos llegando a otros proveedores de ATM con la oferta de asistencia con mucha diligencia para hacer frente a los riesgos de seguridad y las vulnerabilidades descubiertas en la investigación de Jack”, dijo Juniper.

La técnica de “hacking” utilizada es única. Los métodos tradicionales para violar cajeros automáticos involucran robo de tarjetas o robo físico del ATM.

Los cajeros automáticos han sido objeto de una mayor presión para hacer más seguros sus modelos de ATM luego de haber sucedido varios ataques de alto perfil. El pasado diciembre, RBS WorldPay, la división de procesamiento de pagos de Royal Bank of Scotland Group PLC con sede en EEUU, divulgó un fallo de seguridad en el que los infiltrados utilizaron millones de datos de tarjetahabientes para hacer una estafa coordinada de cajeros automáticos, perdiendo un total de 9 millones de dólares. Los ladrones utilizaron tarjetas de débito de nómina clonadas y robadas, y tarjetas de regalo recargables.

En Europa oriental se utilizó malware en varias infracciones de cajeros automáticos. A principios del mes de Junio, el proveedor de seguridad Trustwave Corp. dijo que sus investigadores descubrieron el malware mientras llevaban a cabo una investigación de violaciones de ATM en Rusia y Ucrania en los últimos meses. Trustwave afirma que 20 cajeros automáticos estaban infectados con malware sofisticado que permite a los atacantes no sólo robar y espiar remotamente los datos y números de identificación, sino también retirar dinero en efectivo. Una tarjeta especializada podría permitir a un atacante retirar hasta 600,000 dólares en cajeros automáticos grandes.