La noticia se parece al sueño de muchas personas: Pasar caminando junto a un cajero automático, y que la máquina empiece a entregar su contenido sin pedir nada a cambio. Aunque no perdemos las esperanzas al respecto (!), lo que nos trae aquí hoy en realidad es un ciberataque masivo que se desarrolló durante todo el año, el cual afectó a los cajeros de varios países, especialmente en territorio europeo. La información fue publicada por la compañía de seguridad rusa Group IB, y el FBI ya emitió una alerta a los bancos estadounidenses, ante la posibilidad de ataques similares.
La técnica lleva el nombre de «jackpotting». Su aplicación depende del tipo de cajero automático, pero el objetivo final es el mismo: Lograr que la máquina comience a dar billetes, uno tras otro. YouTube está repleto de demostraciones, y siendo honesto no sé cómo los especialistas en seguridad obtienen cajeros automáticos completos, pero el punto es que algunos presentan vulnerabilidades. En esencia, los cajeros automáticos son ordenadores con entornos preparados para funcionar semanas enteras sin interrupción, dando así lugar a diferentes hacks y exploits. Las primeras novedades sobre jackpotting comenzaron a circular a mitad de año, con reportes de ataques en Taiwán y Tailandia. Ahora se suma un comunicado de la compañía de seguridad rusa Group IB, que confirma maniobras en territorio europeo, incluyendo a España. La gran diferencia, es que este jackpotting fue remoto.
El «Informe Cobalto» de Group IB habla sobre «al menos 14 países» afectados en dos continentes diferentes, pero por razones lógicas han retenido los nombres de los bancos involucrados. Tanto Diebold Nixdorf como NCR, dos de los fabricantes más grandes de cajeros automáticos en el mundo, admitieron estar al tanto de los ataques, y durante todo este tiempo trabajaron con sus clientes en técnicas de mitigación. Todo parece indicar que los cajeros son infectados en forma remota a través de las redes bancarias, después de que hayan sido comprometidas con la herramienta de seguridad Cobalt Strike (de allí surge el nombre para el informe). El ataque en Europa habría sido responsabilidad de un solo grupo de cibercriminales, al que Group IB identifica como Buhtrap.
La ATM Security Association no compartió ningún comentario con los medios tras la publicación del informe, y lo mismo sucedió con los voceros de Europol y el FBI, pero se indicó de que la agencia estadounidense ya envió una serie de alertas a los bancos locales ante esta nueva amenaza. ¿Qué tan grande es? Buhtrap logró robar 28 millones de dólares entre agosto de 2015 y enero de 2016 atacando cajeros rusos. El ataque a la red bancaria de Bangladesh generó pérdidas por 81 millones de dólares. Y es lógico asumir que habrá más incidentes con estas características. No tiene sentido para los cibercriminales seguir robando tarjetas y cuentas individuales, cuando un ataque a una red bancaria insegura permite vaciar cajeros a voluntad…