El investigador de seguridad de IOActive, Josep Rodriquez, ha advertido que los lectores NFC utilizados en muchos cajeros automáticos y sistemas de puntos de venta modernos, los dejan vulnerables a los ataques.
Los fallos los hacen vulnerables a una serie de problemas, como ser colapsados por un dispositivo NFC cercano, ser bloqueados como parte de un ataque de ransomware o incluso ser hackeados para extraer ciertos datos de las tarjetas de crédito.
Rodriquez advierte incluso que las vulnerabilidades podrían utilizarse como parte de un ataque denominado “jackpotting” para engañar a una máquina para que escupa dinero en efectivo. Sin embargo, un ataque de este tipo sólo es posible si se combina con el aprovechamiento de otros fallos, y Wired afirma que no ha podido ver un vídeo de un ataque de este tipo debido al acuerdo de confidencialidad de IOActive con el proveedor del cajero automático afectado.
Al basarse en las vulnerabilidades de los lectores NFC de los cajeros, los hacks de Rodríguez son relativamente fáciles de ejecutar. Mientras que algunos ataques anteriores se han basado en el uso de dispositivos como endoscopios médicos para sondear las máquinas, Rodriquez puede simplemente agitar un teléfono Android con su software frente al lector NFC de una máquina para explotar cualquier vulnerabilidad que pueda tener.
La investigación pone de manifiesto un par de grandes problemas con los sistemas. El primero es que muchos de los lectores NFC son vulnerables a ataques relativamente sencillos, informa Wired. Por ejemplo, en algunos casos los lectores no verifican la cantidad de datos que reciben, lo que significa que Rodriquez pudo sobrecargar el sistema con demasiados datos y corromper su memoria como parte de un ataque de “desbordamiento del búfer”.
El segundo problema es que, incluso cuando se identifica un problema, las empresas pueden tardar en aplicar un parche a los cientos de miles de máquinas que se utilizan en todo el mundo. A menudo es necesario visitar físicamente una máquina para aplicar una actualización, y muchas no reciben parches de seguridad con regularidad. Una empresa dijo que el problema que Rodriquez ha destacado fue parcheado en 2018, por ejemplo, pero el investigador dice que pudo verificar que el ataque funcionó en un restaurante en 2020.
Rodríguez planea presentar sus hallazgos como parte de un seminario web, en las próximas semanas, para destacar lo que, según él, son las pobres medidas de seguridad de los dispositivos integrados.
Con información de: Wired.