Este skimmer en particular se encontró el 6 de diciembre de 2009, colocado en la parte delantera de un cajero automático de Citibank, en Woodland Hills, California ¿habría usted sido capaz de detectar esto?

Este es un trabajo bastante profesional: Observe cómo la mayor parte de la electrónica encaja en la solapa debajo de la ranura de aceptación de la tarjeta. Además, note la cámara diminuta (foto abajo), diseñada para activarse y registrar los movimientos de la víctima mientras él o ella digita su PIN en el cajero automático.

Es difícil saber si se trata de un skimmer de fabricación casera, o uno comprado en los foros criminales de Internet. Algunos de los skimmers vendidos en estos foros son extremadamente sofisticados, incorporando características como la capacidad de enviar un mensaje de texto SMS al teléfono móvil de los delincuentes cuando se desliza una nueva tarjeta.

Este tipo de fraude es en realidad mucho más común de lo que usted podría pensar: una consulta rápida en Twitter sobre “cajero automático skimmer” por lo general trae un montón de informes de prensa locales acerca de estos dispositivos siendo encontrados en los cajeros automáticos.

Use precauciones básicas en los cajeros automáticos y usted tendrá poco que temer a estos skimmers: Si usted ve algo que no se ve bien – tal como un componente extraño que sobresalga o de algún color diferente adherido al cajero automático – Considere ir a otro cajero. Además, manténgase alejado de los cajeros automáticos que no se encuentren en lugares visibles para el público y bien iluminados.

Un investigador de seguridad de Juniper Networks Inc. quien preveía demostrar una manera de hackear el software de un cajero automático en el evento de seguridad Black Hat en Las Vegas retiró su presentación a petición de un proveedor de ATM.

La presentación de Barnaby Jack, “Jackpotting cajeros automáticos,” que iba a tener lugar el 30 de julio, fue sacada de la lista el lunes 29 de junio. En una declaración, el proveedor dijo que recibió una solicitud para retirar la presentación de un proveedor de cajeros automáticos.

“Juniper cree que la investigación de Jack es importante y que se presentaría en un foro público a fin de promover el estado de la seguridad. Sin embargo, el proveedor de ATM afectado nos ha expresado preocupación sobre la revelación pública de los resultados de la investigación antes de que sus constituyentes estén plenamente protegidos”, dijo Juniper. “Considerando el alcance y la posible exposición de este tema con otros proveedores, Juniper decidió aplazar la presentación de Jack hasta que todos los proveedores afectados hayan abordado suficientemente los temas que se encuentran en su investigación”.

Jack habría demostrado una forma de atacar el software subyacente de una línea popular de nuevo modelo de cajeros automáticos. La presentación habría abordado vectores para ataques locales y remotos, y terminaría con una demostración en vivo en un cajero automático nuevo, sin modificaciones.

“Estamos llegando a otros proveedores de ATM con la oferta de asistencia con mucha diligencia para hacer frente a los riesgos de seguridad y las vulnerabilidades descubiertas en la investigación de Jack”, dijo Juniper.

La técnica de “hacking” utilizada es única. Los métodos tradicionales para violar cajeros automáticos involucran robo de tarjetas o robo físico del ATM.

Los cajeros automáticos han sido objeto de una mayor presión para hacer más seguros sus modelos de ATM luego de haber sucedido varios ataques de alto perfil. El pasado diciembre, RBS WorldPay, la división de procesamiento de pagos de Royal Bank of Scotland Group PLC con sede en EEUU, divulgó un fallo de seguridad en el que los infiltrados utilizaron millones de datos de tarjetahabientes para hacer una estafa coordinada de cajeros automáticos, perdiendo un total de 9 millones de dólares. Los ladrones utilizaron tarjetas de débito de nómina clonadas y robadas, y tarjetas de regalo recargables.

En Europa oriental se utilizó malware en varias infracciones de cajeros automáticos. A principios del mes de Junio, el proveedor de seguridad Trustwave Corp. dijo que sus investigadores descubrieron el malware mientras llevaban a cabo una investigación de violaciones de ATM en Rusia y Ucrania en los últimos meses. Trustwave afirma que 20 cajeros automáticos estaban infectados con malware sofisticado que permite a los atacantes no sólo robar y espiar remotamente los datos y números de identificación, sino también retirar dinero en efectivo. Una tarjeta especializada podría permitir a un atacante retirar hasta 600,000 dólares en cajeros automáticos grandes.

Investigadores de Trustwave dijeron que el malware utilizado para comprometer varios sistemas de cajeros automáticos (ATM) en el este de Europa permite a los atacantes tomar control y retirar efectivo de los mismos.

Trustwave, un proveedor de servicios y productos de seguridad de información y cumplimiento con el estándar de la industria de tarjetas de pago (PCI DSS) basado en Chicago, descubrió el malware mientras investigaban las violaciones de ATM en Rusia y Ucrania durante los últimos meses. Alrededor de 20 cajeros automáticos estaban infectados con malware sofisticado que permite a los atacantes no sólo robar datos sensibles y PINs, sino también efectivo, dijo Nicholas Percoco, Vice Presidente y responsable del equipo de seguridad SpiderLabs de Trustwave.

Las violaciones parecen ser trabajos internos, puesto que el atacante necesita acceso físico al ATM para poder instalar y ejecutar el programa malicioso, según Trustwave. Percoco dice que un atacante podría ser alguien que recibe una copia de las llaves del ATM, abre la máquina y carga el malware en el sistema.

Los atacantes pueden entonces utilizar una tarjeta en la máquina infectada, parecida a una tarjeta de cajero automático, pero que contiene información que activa el programa malicioso, y que tiene incorporado un interfaz de usuario, dijo. “Usted inserta esta tarjeta modificada, la retira, y es presentado un interfaz en la pantalla que le pregunta qué desea hacer,” dijo Percoco.

Dependiendo del número de funciones disponibles en la tarjeta controladora, un delincuente puede ver el número de transacciones en el ATM o imprimir los datos de tarjetas recolectados en la impresora de recibos del cajero automático. Una tarjeta multifunción podría permitir al atacante dispensar efectivo de la máquina, con retiros de hasta US$600,000 en los cajeros automáticos grandes, dijo Percoco. Esto da a los atacantes un botín potencialmente mayor que el robo de la banda magnética y PINs de tarjetas, lo que los limita a la cantidad de dinero en la cuenta de una persona, dijo.

“Con esto, pueden ir con una bolsa y dejar la máquina vacía”, dijo.

Los cajeros automáticos comprometidos corrían Microsoft Windows XP, pero Trustwave no puede revelar el software de cajero automático que ataca el malware, dijo Percoco. Dijo que los investigadores creen que el malware está relacionado con el utilizado en los ataques de malware en los cajeros automáticos de Diebold en Rusia a principios de este año, pero dijo que ataca múltiples proveedores, es mucho más avanzado y sigue evolucionando y propagándose. Trustwave recolectó varias versiones del software malicioso.

“Los atacantes lo están desarrollando constantemente”, dijo Percoco.

La sofisticación y naturaleza evolutiva del malware plantea preocupación de que podría propagarse fuera de Europa oriental hacia los EE.UU., de acuerdo con Trustwave. La compañía cree que los atacantes añadirán funcionalidad que le permitirá difundirse a través de la red ATM y recomienda que todas las instituciones financieras analicen su ambiente de cajeros automáticos ante esta posibilidad.

Percoco afirma que bancos en EE.UU deben asegurarse de que todos los cajeros automáticos se encuentren endurecidos y que integren las mejores prácticas, tales como no utilizar contraseñas por defecto. También deben saber quién tiene acceso a las máquinas, algunos bancos contratan empresas para dar servicio a cajeros automáticos, las cuales pueden tener personal temporero.

“Lo que hemos visto al hablar con algunos bancos en los EE.UU. es que muchos no tienen control en la seguridad de los cajeros automáticos propiamente dicho”, dijo. “Ellos siempre asumen que porque están cerrados no son muy vulnerables, pero una vez se tiene una llave para abrir los sistemas, en muchos casos la postura de seguridad es baja.”