Dos analistas de seguridad descubrieron dos fallos en cajeros automáticos muy utilizados en Estados Unidos, los cuales podrían permitir que un delincuente decidido robe efectivo y datos de clientes.
Brenda So y Trey Keown, de Red Balloon Security Inc. de Nueva York, encontraron los defectos en las máquinas producidas por Nautilus Hyosung America Inc., el mayor proveedor de cajeros automáticos en Estados Unidos. Al obtener acceso a la misma red que el cajero automático en cuestión, los analistas pudieron hacerse con el control total de la máquina y eludir las medidas de seguridad. También descubrieron que las llaves maestras de los cajeros automáticos estaban a la venta en Amazon.com, algo que otros analistas habían señalado anteriormente.
En un comunicado conjunto el lunes, Red Balloon y Nautilus Hyosung dijeron que no había pruebas de que ningún individuo hubiese aprovechado los fallos. Los analistas señalaron que los fallos solo afectaban las versiones minoristas de los cajeros automáticos Nautilus, no las que se usan en las instituciones financieras. Según una estimación de Red Balloon, más de 80,000 máquinas están expuestas a robos. Nautilus cuenta con más de 150,000 cajeros automáticos instalados en Estados Unidos, según el comunicado.
Nautilus es una subsidiaria del conglomerado Hyosung Corp., con sede en Corea del Sur, que no cotiza en bolsa. Los fallos de seguridad solo existen en los cajeros automáticos desarrollados y distribuidos por la filial estadounidense.
Los analistas dijeron que habían informado sobre los defectos a la empresa en el verano y que se desarrolló un parche en una semana. “Nautilus Hyosung America ya ha publicado actualizaciones de seguridad de firmware para mitigar posibles riesgos”, dijo la compañía en el comunicado.
Nautilus dijo que “notificó a todos sus clientes comerciales para que actualizasen inmediatamente sus cajeros automáticos con estos parches”, que se difundieron por primera vez el 4 de septiembre. Red Balloon dijo que está trabajando con Nautilus para mejorar la seguridad de sus cajeros automáticos.
La firma ofrece servicios de seguridad a computadoras integradas en un producto, como una impresora o un cajero automático.
Actualizaciones de seguridad
No está claro cuántos cajeros automáticos ya se han actualizado con el parche. Para instalarlo, un técnico o propietario de un cajero automático tendría que insertar manualmente una memoria USB con la actualización de software en la máquina o descargarla de Nautilus, dijeron los analistas de seguridad. Red Balloon dijo que no publicará un desglose detallado de cómo funcionan exactamente los defectos, para evitar que delincuentes repliquen el proceso, pero puede proporcionar más detalles técnicos en el futuro.
Ang Cui, director ejecutivo y fundador de Red Balloon, dijo que actualizar todos los cajeros automáticos probablemente sería difícil. “Hacer que las personas realicen actualizaciones de seguridad y de firmware ha sido algo que hemos estudiado durante diez años”, dijo Cui. “La gente simplemente no quiere pensar en eso. No quieren hacerlo”.