El complejo, amplio y cambiante mundo del malware ATM/PoS. Una mirada al panorama de 2017-2019. id:58384
Los expertos de Kaspersky han descubierto que los ataques contra los cajeros automáticos han alcanzado un nuevo nivel de actividad en los últimos años.
De hecho, entre 2017 y 2019, el número de dispositivos ATM/PoS únicos protegidos por Kaspersky en los que se encontró malware creció casi 2,5 veces, según las estadísticas de Kaspersky Security Network.
Las áreas donde se registró mayor actividad en 2019 fueron Brasil y Rusia. Ambos países tienen una larga historia como puntos de acceso para el desarrollo de malware de cajeros automáticos y ataques dirigidos contra instituciones financieras. Otros países con elevada actividad en los últimos tres años fueron Alemania, Italia, Estados Unidos, Turquía, India y Vietnam. Esta distribución tan amplia es prueba del aumento mundial general de la actividad maliciosa dirigida a cajeros automáticos.
"Los cajeros automáticos son, en muchos sentidos, el objetivo ideal de los ciberdelincuentes: el hecho de que frecuentemente utilicen sistemas obsoletos los hace fáciles de explotar y permiten el acceso a grandes cantidades de dinero en efectivo. Es probable que la tendencia al alza en la frecuencia de los ataques continúe sólo durante el año 2020. Ya se observan nuevas tendencias: así, por ejemplo, en América Latina, un grupo está intentando vender malware de cajeros automáticos desarrollado para cada uno de los principales proveedores del mercado en el marco del proyecto MaaS (malware as a service). Las organizaciones financieras deben estar atentas para mantenerse actualizadas en cuanto a su inteligencia sobre amenazas y actualizar sus sistemas",indicaDmitryBestuzhev, jefe del equipo de Investigación y Análisis Global de Kaspersky en América Latina (GReAT).
Para proteger a las organizaciones de estos ataques, los expertos de Kaspersky recomiendan:
- Evaluar qué vectores de ataque tienen más probabilidades de ser utilizados y generar un modelo de amenaza. Esto dependerá, por ejemplo, de la arquitectura de red que se haya establecido y del lugar donde esté instalado el cajero automático -un lugar no controlado por la organización, como un muro en la calle, o una oficina con vigilancia por vídeo, etc.
- Determinar qué cajeros están desactualizados o funcionan con una versión de sistema operativo cuyo soporte esté a punto de finalizar. Si no puede reemplazarlos, preste atención a este hecho en su modelo de amenaza y establezca la configuración de la solución de seguridad adecuada, que no afecte a la productividad del dispositivo.
- Realizar regularmente evaluaciones de seguridad o pruebas abiertasen los cajeros automáticos para encontrar posibles vectores de ciberataques. El servicio de "threathunting" de Kaspersky también puede ayudarle a encontrar sofisticados ciberdelincuentes.
- Revisar regularmente la seguridad física de los cajeros automáticos para detectar elementos anormales implementados por los atacantes.
- Si las configuraciones de los cajeros automáticos lo permiten, instale una solución de seguridad que proteja a los dispositivos de diferentes vectores de ataque, como Kaspersky EmbeddedSystems Security. Incluso si el dispositivo tiene especificaciones de sistema extremadamente bajas, la solución de Kaspersky lo protege con un escenario de lista blanca de denegación por defecto.
Los terminales de punto de venta (POs) son, en muchos aspectos, similares a los cajeros automáticos, pero poseen una serie de diferencias que hay que tener en cuenta y abordar en consecuencia. Aparte de los pasos mencionados anteriormente (que siguen siendo aplicables), hay que tener en cuenta lo siguiente:
- Al ser a menudo más potentes en comparación con un cajero automático medio, los terminales PoS basados en Windows ofrecen más espacio a las maniobras de los atacantes y son capaces de ejecutar una amplia gama de modernos programas maliciosos y herramientas de piratería. Esto requiere implementar una protección multicapa.
- Aunque también se localizan en espacios públicos, generalmente carecen de la pesada armadura de los cajeros automáticos. Por lo tanto, son más susceptibles a los ataques directos con dispositivos no autorizados. Esto hace que la configuración adecuada del control de dispositivos sea aún más valiosa.
- El hecho de que procesen no sólo datos financieros sino también personales, aumenta su atractivo para los ciberataques y también los somete a más legislación. En combinación con escenarios de ataque directo, es obligatoria la monitorización la integridad de los archivos y la inspección de los registros, preferiblemente de forma que se puedan realizar cambios off-line.
- Los sistemas embebidos deben estar protegidos no sólo por seguridad basada en el host, sino también a nivel de red, como las pasarelas web seguras o los cortafuegos de nueva generación, capaces de detectar y bloquear las comunicaciones no solicitadas y otros sistemas, tanto dentro como fuera de la infraestructura de la empresa.