Los expertos de Kaspersky Lab han investigado cómo los ciberdelincuentes podrían aprovechar las nuevas tecnologías de autenticación biométrica en los cajeros automáticos previstas por los bancos. Aunque muchas organizaciones financieras consideran las soluciones basadas en la biometría como una de las adiciones más prometedoras a los métodos de autenticación actuales, o incluso un reemplazo total para dichos métodos, los cibercriminales perciben la tecnología biométrica como una nueva oportunidad para robar información sensible.
Los cajeros automáticos llevan años en la mira de estafadores que están a la caza de los datos de tarjetas de crédito. Todo comenzó con los skimmers primitivos –dispositivos caseros conectados a un cajero automático, capaces de robar información de la banda magnética de la tarjeta y el NIP, con ayuda de un teclado de cajero automático falso o una cámara web. Con el tiempo, el diseño de tales dispositivos ha mejorado para que sean menos visibles. Con la implementación de tecnología en las tarjetas bancarias como el chip o usar el NIP para realizar los pagos, se hace mucho más difícil, aunque no imposible, clonarlas. Los dispositivos evolucionaron a lo que ahora se llaman «shimmers»: que son básicamente los mismos, pero capaces de recabar datos del chip, lo que ofrece suficiente información para llevar a cabo un ataque de retransmisión en línea. La industria bancaria ha respondido con nuevas soluciones de autenticación, algunas de las cuales están basadas en la biometría.
De acuerdo con una investigación de Kaspersky Lab del cibercrimen subterráneo, existen al menos 12 vendedores que ofrecen skimmers capaces de robar huellas dactilares de las víctimas. Y al menos tres vendedores clandestinos investigan dispositivos que podrían obtener datos de manera ilegal de los sistemas de reconocimiento de iris y de las venas de la mano.
Se observó la primera ola de skimmers biométricos en las «pruebas de preventa» en septiembre de 2015. La evidencia reunida por los investigadores de Kaspersky Lab reveló que, durante las pruebas iniciales, los desarrolladores descubrieron varios errores. Sin embargo, el principal problema era el uso de módulos GSM para la transferencia de datos biométricos -que eran demasiado lentos para transferir el gran volumen de información obtenida. Como resultado, las nuevas versiones de skimmers utilizarán tecnologías más rápidas de transferencia de datos.
También hay debates continuos en comunidades clandestinas, en relación con el desarrollo de aplicaciones móviles basadas en la colocación de máscaras sobre un rostro humano. Con este tipo de aplicación, los atacantes pueden tomar la foto de una persona publicada en redes sociales y utilizarla para engañar a un sistema de reconocimiento facial.
“El problema de los datos biométricos es que, a diferencia del NIP o las contraseñas que se pueden modificar fácilmente en caso de una situación comprometida, es imposible cambiar la imagen de una huella digital o del iris. Por lo tanto, si los datos de una persona se ven comprometidos una vez, no va a ser seguro utilizar de nuevo ese método de autenticación. Por eso es muy importante mantener y transmitir la información de forma segura. Los datos biométricos se registran también en los pasaportes modernos -llamados electrónicos– y en las visas. Por lo tanto, si un atacante roba un pasaporte electrónico, no solo posee el documento, sino también los datos biométricos de ese individuo. Se han robado la identidad de una persona”, dijo Olga Kochetova, experta en seguridad de Kaspersky Lab.
El uso de herramientas capaces de poner en peligro los datos biométricos no es la única amenaza cibernética potencial que enfrentan los cajeros automáticos, opinan los investigadores de Kaspersky Lab. Los hackers continuarán realizando ataques basados en malware, ataques de caja negra y ataques a la red para obtener datos que luego pueden utilizar para robar dinero de los bancos y sus clientes.
El informe completo sobre las próximas ciberamenazas a cajeros automáticos y las medidas que pueden proteger a los bancos contra estas amenazas está disponible en https://securelist.lat/analysis/publicaciones/83975/future-attack-scenarios-against-atm-authentication-systems/
Videos que muestran los diferentes vectores de ataque contra los cajeros automáticos, están disponibles en:
