Los bancos se encuentran en una importante transición hacia las tarjetas con chips embebidos, pero siguen utilizando Windows XP y no muestran interés por mudarse a Windows 8.

Pese a que se han hablado de vulnerabilidades en cajeros automáticos (ATM) anteriormente. La gran mayoría en el mundo operan y operarán con el sistema operativo Windows XP, aún después del 8 de abril, fecha en la cual la compañía Microsoft dejará de dar soporte a dicho sistema. La determinación de Microsoft por terminar con el sistema operativo alentará a muchos bancos a considerar soluciones no basadas en Windows.

En enero hubo un estallido de historias acerca de la desaparición de Windows XP y de cómo esto afectaría a los cientos de miles de cajeros automáticos que aún utilizan el sistema operativo (que son entre el 80% y 95% del total). Recientemente han aparecido más artículos con alertas relacionadas, por ejemplo CNN Money dice:

"Si para abril los bancos no logran actualizar los sistemas operativos de los cajeros automáticos a una versión reciente de Windows, los clientes estarán en riesgo. Si los atacantes descubren nuevas fallas en Windows XP, éstas que quedarán sin resolver, permitiéndoles explotarlas libremente".

No es nuevo que surjan vulnerabilidades de día cero en Windows todo el tiempo, la duda radica en el mecanismo de distribución: los cajeros automáticos por lo general no se encuentran conectados a Internet, no descargan programas dudosos y no tienen conexiones desprotegidas a redes expuestas. Sin embargo, su aislamiento no significa que sean impenetrables (basta con ver la forma inteligente en que Stuxnet se propagó).

El mes pasado, Larry Seltzer escribió en su artículo en ZDnet en donde menciona que los cajeros automáticos se encuentran bloqueados y son prácticamente un búnker. Comprometer un cajero automático no es tan simple como sólo introducir una USB infectada y esperar, deslizar una tarjeta de crédito especial o teclear la correcta combinación de teclas. Al menos, no debería ser así, aunque los cajeros automáticos tengan o no instalada una versión actualizada de Windows XP, o incluso, si utilizan otro sistema operativo.

Sin duda, los cajeros automáticos pueden ser comprometidos con malware, tal como se demostró el año pasado en la conferencia Chaos Communications 30c3. Los atacantes lograron extraer la cubierta metálica del cajero, introducir un dispositivo USB en la computadora y reiniciarla. Hay mucho que decir y pensar sobre el acceso físico y el por qué un cajero automático tiene una ranura USB.

El crack desarrollado por Barnaby Jack en el MIT hace tres años se basó en la explotación de una conexión inalámbrica abierta hacia el procesador del cajero automático. Jack obtuvo el usuario y contraseña, inició sesión y comprometió el equipo. El sistema operativo XP no representó el menor inconveniente.

Así que, ¿porqué los bancos aún utilizan Windows XP a pesar de su desaparición inminente- Parte del problema puede atribuirse a la resistencia de los ejecutivos bancarios a gastar dinero para modernizar su infraestructura tecnológica. Gastar unos miles de dólares para cambiar los equipos con procesadores 386 que ejecutan Windows XP a unos con procesadores i3 que soportan Windows 7 no resulta en un retorno de inversión (ROI – Return of Investment), sobre todo cuando los clientes no pueden notar la diferencia.

Muchos bancos están cerrando contratos con Microsoft para extender el soporte de XP más allá de la fecha de corte. Dada la naturaleza de los bancos de no doblegarse, es probable que en sus negociaciones traten de pagar menos de $200 a $400 dólares por cajero al año para extender el soporte. Sin embargo, hay cientos de miles de cajeros automáticos en el mundo que se volverán vulnerables el siguiente mes.