Cajeros automáticos vulnerables

Las máquinas tragamonedas incluyen varias soluciones de protección, pero también hay puntos débiles.

Según informes de prensa publicados en EE. UU., Los piratas informáticos lograron acceder a los cajeros automáticos de Citibank entre octubre de 2007 y marzo de 2008. Los ladrones saquearon al menos dos millones de dólares estadounidenses al espiar los PIN antes de capturarlos. El Dr. Klaus Gheri, cofundador de la Gestión Estratégica de Productos de Phion, comenta sobre los peligros asociados con las máquinas tragamonedas.

“El cajero automático en sí es un sistema bien protegido en el sentido físico. Sin embargo, el cable de alimentación que sale de la máquina no lo hace. Por tanto, por motivos de seguridad, es fundamental que la comunicación entre el cajero automático y el sistema del servidor central esté cifrada. El ataque a la adhesión probablemente no habría tenido éxito si se hubiera utilizado este sencillo método. Con este fin, los bancos, al igual que las empresas con personal móvil, deben crear una red privada virtual (VPN) que admita comunicaciones cifradas y seguras ".

Sin embargo, la instalación de una solución de software adicional para el cifrado puede violar los acuerdos de nivel de servicio que ya tienen los fabricantes de máquinas expendedoras. Por lo tanto, la única medida posible es cifrar las comunicaciones dentro del sistema y brindar protección contra ataques de la red a través de los dispositivos de firewall / VPN, cree Phion. El desafío para los bancos es instalar cajas VPN directamente en los gabinetes de los cajeros automáticos. Aquí, sin embargo, hay limitaciones de espacio y las máquinas colocadas al aire libre están sujetas a grandes fluctuaciones de temperatura según la temporada. Además, las soluciones tradicionales de administración de VPN no pueden hacer frente a una gran cantidad de sitios y el servicio in situ puede resultar demasiado costoso.

“Los ataques a los cajeros automáticos requieren una gran experiencia y un tremendo esfuerzo. Los clientes privados tienen muchas menos probabilidades de ser atacados de esta manera que un estafador de tarjetas de crédito ". Agregó el especialista de Phion.

El caso de Citibank hasta ahora solo se ha publicado como parte de los procedimientos legales contra los atacantes y aún no se conocen sus métodos de fraude. Todo lo que sabes es que sus ataques se llevaron a cabo de forma remota sin acercarse a los cajeros automáticos. Los cajeros automáticos en cuestión eran operados por empresas externas en nombre de Citibank.