Un investigador de ciberseguridad advierte sobre las vulnerabilidades de los lectores de NFC que incorporan cajeros automáticos.
29.06.2021 • 17:42hs • Ciberseguridad
Ciberseguridad
Insólito: experto demuestra cómo hackear un cajero con un teléfono Android con NFC
Los cajeros automáticos parecen no ser tan seguros como debieran. Josep Rodríguez, un investigador de ciberseguridad de la firma IOActive, alertó sobre las graves vulnerabilidades de la tecnología NFC presente en estas máquinas. Estos fallos permiten desde extraer información de tarjetas hasta sacar dinero en efectivo, todo con un teléfono Android como herramienta.
El peligro de los NFC
Wired cuenta que el investigador ha pasado el último año analizando las vulnerabilidades de los lectores NFC. Se trata de una tecnología que multiplicó su presencia en los últimos años.
Presente en todo tipo de tiendas y cajeros automáticos, permite utilizar tarjetas simplemente apoyándolas sobre el dispositivo, es decir, no es necesario deslizarlas o insertarlas.
El NFC permite usar el teléfono como tarjeta
Rodríguez explicó que desarrolló una aplicación para Android que imita las comunicaciones por radio de una tarjeta de crédito. De esta manera, aprovecha las fallas de la tecnología NFC y puede ejecutar una amplia variedad de ataques en un cajero automático. Por ejemplo, recopilar información de tarjetas, cambiar el valor de las transacciones y bloquear los dispositivos con un ransomware.
"Puedes modificar el firmware y cambiar el precio a un dólar, por ejemplo, incluso cuando la pantalla muestre que estás pagando 50 dólares. Puedes inutilizar el dispositivo o instalar una especie de ransomware. Hay muchas posibilidades aquí", afirmó Rodríguez.
El problema de NFC puesto a prueba en un cajero automático de Madrid
Con el objetivo de demostrar las vulnerabilidades, Rodríguez compartió un vídeo con Wired en el que al pasar su teléfono por el lector NFC de un cajero de Madrid provoca un error. La máquina dejó de leer tarjetas, es decir, quedó inutilizable. El vídeo no ha sido difundido por cuestiones legales y éticas.
Sin embargo, esto no es todo. El investigador también descubrió que algunos cajeros automáticos pueden ser obligados a distribuir dinero en efectivo a través de métodos de jackpotting. "Puede retirar dinero con solo tocar su teléfono", indicó Rodríguez, pero señala que este tipo de ataque solo es efectivo en dispositivos que combinan varios errores de software.
El consultor de ciberseguridad cuenta que los cajeros automáticos vienen arrastrando problemas desde hace décadas, ya que no reciben actualizaciones con regularidad. Los proveedores afectados fueron notificados hace casi un año por IOActive. Entre ellos se encuentran ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo y uno no identificado, según informó el sitio Hipertextual.