Análisis de amenazas

Una nueva estafa bancaria en los cajeros automáticos hace que robar un banco sea más fácil

Threat Intelligence Team, 18 abril 2017

Los infames grupos dedicados a las estafas bancarias siguen innovando y crean nuevos escollos de seguridad en los bancos.

En los últimos meses, hemos sido testigos de varios ataques de gran envergadura en cajeros automáticos de Tailandia, India, Latinoamérica, Europa y otros países de todo el mundo. En estos incidentes, los atacantes se hicieron con millones de dólares de muchas entidades bancarias.

Los ataques bancarios se dividen en dos categorías principales: los que tienen como objetivo el consumidor y los que tienen como objetivo las instituciones financieras.

 La primera categoría, la más antigua, se refiere a los ataques contra clientes bancarios y software de banca en línea. Algunas de las técnicas que emplean los atacantes son:

  • Secuestrar la pantalla de inicio de sesión de la página web del banco.
  • Evitar o eludir características de seguridad, como los teclados virtuales o la autenticación de dos factores.
  • Instalar spyware con una herramienta de acceso remoto (RAT) personalizada en el equipo infectado. (Este modelo sigue siendo muy habitual en Sudamérica y Asia).

Sin embargo, en esta publicación del blog, me voy a centrar en la segunda categoría de ataques: los ataques cuyo blanco son las entidades bancarias y sus sistemas internos, los equipos de los empleados del banco y las redes internas, que los atacantes burlan para acceder a otras partes de la infraestructura global (como los terminales de pago (POS), los cajeros automáticos, las transferencias bancarias internacionales) y a registros esenciales.

A menudo, los atacantes se valen de amenazas persistentes avanzadas (APT), ingeniería social o ataques de suplantación de identidad dirigidos contra los empleados internos o externos de un banco con el fin de obtener acceso a los sistemas internos. En ciertos casos, consiguen atacar tan solo la red interna de cajeros, pero, después, pueden manipular físicamente un cajero y propagar la infección a todas las demás máquinas de la misma red.

Uno de los últimos ataques de este tipo fue una infección generalizada de cajeros rusos que se perpetró a través de la red interna de una entidad bancaria. Según la información publicada en los medios rusos, el ataque fue especialmente interesante, ya que se utilizó software malicioso sin archivos que se ejecuta en la memoria de la máquina y evita que el sistema operativo de los cajeros infectados (normalmente se trata de Windows) se reinicie.

A partir de esta información, concluimos que el software malicioso se puede almacenar, por ejemplo, en el registro de arranque principal (MBR) del disco duro de la máquina, dentro de un firmware (BIOS/UEFI) o como el software malicioso Poweliks, conocido por ocultarse en el registro de Windows.

Tras introducir un código especial, el cajero infectado expende todo el dinero que hay en la primera máquina, que es donde se suelen guardar los billetes de mayor valor nominal. Este método también se denomina "ataque del botín de cajero" y ya se ha utilizado varias veces en el pasado.

Las infecciones de cajeros automáticos son cada vez más frecuentes y están desplazando gradualmente a los métodos de skimming o copiado de bandas magnéticas. Con estos métodos, los atacantes tenían que instalar sus equipos en un cajero concreto, lo que suponía un alto riesgo de ser descubiertos.

El negocio de las estafas bancarias

Los grupos de estafas bancarias más infames son Metel, GCMAN, Carbanak, Buhtrp/Cobalt y Lazarus. Todos estos grupos están muy preparados. Están compuestos por profesionales con vastos conocimientos sobre tecnología bancaria, pirateo y programación. Es probable que estén vinculados a la mafia clandestina y organizaciones de blanqueo de dinero, y que tengan relación con empleados de banco corruptos y personas infiltradas. Su trabajo les lleva mucho tiempo y la preparación de un atraco a gran escala podría suponer meses de supervisión, intrusión en nuevos sistemas, servidores y redes, y el estudio de sistemas internos, mecanismos de verificación y otras reglas y cuotas de regulación. El más mínimo error que pueda cometer un grupo de estafas bancarias podría ser fatídico y desembocar en la detección de las actividades sospechosas que realizan. Con el objeto de garantizar su protección durante el ataque final, actúan meticulosamente para borrar todos los rastros y registros de las actividades ilegales, un paso importante que requiere una planificación cuidadosa de sus acciones.

Los fraudes cometidos en bancos son cada vez más comunes y los atacantes utilizan sofisticados métodos para robar enormes cantidades de dinero. Con cada robo consumado, los atacantes también recaudan fondos para financiar toda su infraestructura, el desarrollo de software malicioso y detectar puntos vulnerables, así como para pagar a las mulas de dinero, el blanqueo de dinero y sobornar a las personas infiltradas en los bancos. Todos estos grupos llevan muchos años en el punto de mira de varias instituciones del orden público, como el FBI y la Europol, pero sus autores intelectuales y miembros siguen ocultos en alguna parte de la infinidad de Internet y lo más oscuro de la red.

Aunque los cajeros suelen estar bien protegidos frente a los ataques físicos, casi todos utilizan el sistema operativo Windows (CE/2000/XP/7). Desconocemos si los sistemas operativos de los cajeros automáticos se actualizan periódicamente y si se les aplican parches. Es probable que estos cajeros estén protegidos por el software de seguridad instalado en la red interna. Una red es tan segura como lo es su punto más débil, de modo que, una vez franqueadas las defensas de la red interna, los cajeros de esta son un blanco fácil. Por lo tanto, para proteger los cajeros automáticos y los sistemas contra estos ataques, los bancos se deben ocupar más de la tecnología y las políticas de seguridad interna, así como de la seguridad de los cajeros.

Los tiempos han cambiado y ahora parece que robar dinero electrónicamente de un cajero es más fácil que usar los métodos antiguos, más rudimentarios. Esto nos puede dar más seguridad física, pero pone de relieve nuevos problemas y escollos a los que los bancos deben hacer frente.