• Tweet

Un año después de su conferencia Black Hat relacionada con vulnerabilidades de seguridad en cajeros automáticos, fue retirado por su patrón, el investigador de seguridad Barnaby Jack planea dar la plática y revelar un nuevo rootkit para ATMs en la conferencia de seguridad.

Él planea dar la plática titulada: "Jackpotting Automated Teller Machines," en la conferencia Black Hat de Las Vegas, que se realizará el 28 y 29 de Julio.

Jack demostrará diversas maneras de atacar máquinas de cajeros automáticos, incluyendo ataques remotos y basados en red. Además revelará un “rootkit multiplataforma para ATMs” y discutirá aspectos que la industria de los ATM pueden hacer para protegerse ellos mismos de esos ataques, escribe en su descripción de la plática, publicada esta semana en el sitio web de Black Hat.

Jack fue programado para discutir acerca de los problemas de seguridad en los ATM en la conferencia del año pasado, pero su empleador, Junipier Networks, le hizo posponer la presentación después de las quejas de un fabricante de ATM acerca de su preocupación con respecto a que la información que descubrió pudiera tener un mal uso.

Sin embargo, el investigador de seguridad encontró una manera sencilla de darle la vuelta a las objeciones de Junipier. El mes pasado, aceptó un nuevo trabajo como director de investigación de seguridad con IOActive.

Las máquinas ATM sí son comprometidas, pero de una manera indirecta. Los ladrones generalmente los atacan instalando en ellos lectores de tarjetas para leer la información de la cinta magnética. Y después, usando cámaras de video escondidas, roban los números de acceso. Y al usar toda esa información, los ladrones pueden construir duplicados de las tarjetas y vaciar las cuentas bancarias.

Pero la plática de Jack se enfoca en una nueva área: errores en el software usado para ser ejecutado en las máquinas.

Él está tomando ventaja del año extra proporcionado por Junipier para hacer más investigación. “El año pasado, hubo sólo un ATM; este año, estoy duplicando y trayendo dos nuevos modelos de ATMs de dos grandes fabricantes,” comentó Jack en la descripción de su plática. El investigador de seguridad no pudo ser contactado inmediatamente para hacer comentarios.

Jack no dijo cuales ATMs planea discutir, pero puede ser cualquier gran fabricante, de acuerdo al Director de Black Hat, Jeff Moss. “Le fue concedido un cuarto lleno de ATMs de diferentes marcas, y todos sufrieron de uno u otro problema,” dijo él.

Los ATMs no han recibido una seria revisión de seguridad por los investigadores, de tal forma que la charla de Jack abrirá nuevas fronteras, comentó Moss. “Aparentemente, puedes hacer que todo el dinero salga,” comentó.