Hola,
Aunque no es un informe recién salido del horno, Trustwave publicó el pasado mes de Mayo un informe en el que se realiza un interesante estudio de malware en autoservicios financieros aka
cajeros automáticos. Un claro ejemplo de la profesionalización que se
ha alcanzado en el bando de los chicos malos, ya que el bicho, entre
otras prestezas, permite a los atacantes obtener mediante la impresora
financiera del propio cajero todos los datos capturados o incluso
provocar la expulsión del dispensador para sacar de él los billetes.
Sirva este ejemplo para reflexionar sobre a qué nos estamos
enfrentando. La contaminación deliberada de cajeros es un tema que no
goza de la popularidad de otras ramas del crimen organizado, como la
troyanización de equipos de usuario, el spam, las farmacias
en línea ilegítimas y otras actividades delictivas similares, con lo
que es difícil documentarse con casos reales bien trazados. El informe de Trustwave es uno de ellos.
Afortunadamente la seguridad física y en algunos casos lógica que
tiene un cajero son suficientes, por norma general, para amedrentar a
los posibles atacantes, pero este es un nicho candidato a ser objetivo
para el año 2010. Aunque la tasa de incidentes por cajero operativo no
es representativa, ya que la amplísima mayoría de los mismos están bien
protegidos, la progresiva conversión de unidades financieras
especializadas en PCs convencionales con periféricos ha abierto las
puertas a posibles oportunidades.
Para que os hagáis una idea, en Reino Unido el 90% de los cajeros son Wintel. Atrás quedaron los terminales basados en OS/2, siendo ahora la tónica del mercado la instalación de terminales que corren Windows XP Embedded,
una edición especial de XP Professional en la que es posible elegir qué
componentes queremos instalar mantieniendo la disponibilidad plena de
Windows API, lo que lo hace ideal para montar encima aplicaciones de
cajeros. Además la gran mayoría de los clientes corporativos tiene
experiencia y recursos para mantener cómodamente soluciones Windows,
existen infinidad de productos para gestionar su funcionamiento, los
periféricos financieros funcionan bien y sin complicaciones en Windows,
y el desarrollo de aplicaciones para estas plataformas es relativamente
sencillo. Es un sistema atractivo para operar cajeros.
Pero no todo podía ser de color rosa en esta historia, ya que
sabemos que los troyanos sienten la misma predilección por Windows que
las corporaciones a la hora de seleccionarlo como plataforma, y es ahí
donde se abre la veda que antes apenas existía para OS/2. Si ya era
duro encontrar desarrolladores para funciones legítimas, no os digo
nada sobre reclutar criminales para desarrollar funciones maliciosas en
el sistema de IBM.
A buen seguro, y volviendo al título del post, tendremos
dos meses por delante plagados de opiniones sobre lo que nos deparará
el 2010 en lo que a seguridad se refiere. Además del sempiterno auge
del malware en dispositivos móviles (ese que hasta el día de
hoy nunca se ha producido, y que se lleva pronosticando años) no es
descartable que los analistas mencionen el malware en
terminales financieros en sus informes de tendencias, además de las
típicas vaguedades generalistas que suelen incluír, como todos a la nube si o no, este será el año de Linux en el escritorio sí o no, o todos tendremos pantallas a lo Minority Report sí o no.
Yo no suelo hacer predicciones, pero sin que sirva de precedentes,
voy a hacer una. Algunos la veréis obvia, y otros consideraréis que
todavía es pronto para mojarse, pero creo que en 2010 vamos a ver
muchos incidentes protagonizados por malware en cajeros. La
razón que me lleva a pensar esto es que durante 2009 los troyanos han
alcanzado un nivel de sofisticación espectacular, con lo que creo que los amigos de lo ajeno
están definitivamente preparados para ir a por la pasta contante y
sonante que reside en los cajeros mediante métodos alternativos al
clonado y obtención del PIN.
Esto, junto al hecho de que 2009 no ha sido precisamente un año de
alegría y champán en cuanto a dotaciones presupuestarias e inversiones
en seguridad, me hace pensar que a buen seguro veremos avances en este
campo. Sinceramente, espero equivocarme por el bien de todos.
Un saludo, y comentamos el año que viene. Entre tanto, sentíos
libres de escribir aquí vuestras previsiones, si es que alguien quiere
frotar un poco la bola de cristal, claro 
Autor: Sergio Hernando
Fuente: SAHW
| Promociones Mercadolibre |  Promoción Zippo, Encendedor, Navaja Y Combustible. Mais info» $ 600.00 |  Telefono Inalambrico Dect 6.0 Gigaset Sl785 Duo Mais info» $ 3,700.00 hasta 18 pagos de 277.50 |  Pulsometro C Banda Conexión A La Pc Incluye Usb Slimdata Mais info» $ 999.00 hasta 18 pagos de 74.93 |  Cartera American Eagle Outfitters Estampada Super Padre Smf Mais info» $ 430.00 hasta 18 pagos de 32.25 |  Router Craftsman Broquero 1 2 Y 1 4 Class1 Mais info» $ 1,999.00 hasta 18 pagos de 149.93 |  Tacos Nike Total 90futbol Soccer 29.5mex Usa 11.5 Dia Padre Mais info» $ 439.00 hasta 18 pagos de 32.93 |
|---|---|---|---|---|---|
| Vitrine Tecnoblog |
octubre 15th, 2009 | 
Etiquetas: 
Deje un comentario
66 vistas 
Loading ...
Comentarios recientes