Bancos europeos advirtieron: refuerzo para fraude de máquinas en efectivo

Es probable que los bancos aumenten el fraude en los cajeros automáticos a menos que se tomen medidas para mejorar su infraestructura de cajeros automáticos, ha advertido la Agencia Europea de Seguridad de la Información (ENISA).

ENISA dijo los bancos se encuentran actualmente en una "delicada etapa de transición" en la que pasar por alto los riesgos para los cajeros automáticos significa perder terreno en una lucha crítica que es importante para el sistema económico de cada país. En general, una vez que los cajeros automáticos están mal instalados administrado y raramente actualizado, según el informe "Delito ATM", publicado el lunes.

[Más información: cómo eliminar el malware de su PC con Windows]

Los bancos europeos en 22 países perdieron un colectivo de € 485 millones [m] debido al fraude de ATM en 2008, según a las cifras publicadas a principios de este año del Equipo Europeo de Seguridad ATM (EAST), un grupo sin fines de lucro compuesto por instituciones financieras y aplicación de la ley.

Se reportaron 12,278 ataques en cajeros automáticos, que representaron un 149 por ciento más que en 2007, ESTE dijo. El ataque más común fue "rozar" o conectar un equipo a un cajero automático que registra la banda magnética de una tarjeta y luego utiliza medios subrepticios para capturar el PIN de una persona (Número de identificación personal). Luego, se puede programar una tarjeta de cajero automático en blanco con esos detalles y usarla para transacciones fraudulentas.

Cerca de € 400 millones [m] (US $ 695) del fraude ocurrido fuera del país donde se emitió la tarjeta. Eso es porque alrededor del 90 por ciento de los bancos europeos ahora usan tarjetas con chip y PIN, también conocidas como tarjetas EMV, donde el cajero automático, así como la mayoría de los dispositivos de punto de venta, verifican si la tarjeta tiene un microchip especial.

Pero muchas máquinas en países de países que no usan chip-and-PIN no verifican el chip y dependen únicamente de la banda magnética y el PIN para autorizar la transacción.

Mientras los bancos han tomado medidas para hacer sus cajeros automáticos son más resistentes al robo y educan a los consumidores sobre cómo detectar las máquinas manipuladas, hay varias otras debilidades en los sistemas ATM, dijo ENISA.

"Los cajeros automáticos a menudo ahora usan sistemas operativos disponibles públicamente y hardware comercial, y como resultado, son susceptibles de estar infectados con virus y otro software malicioso ", dijo ENISA.

Muchas máquinas se ejecutan en el sistema operativo Windows de Microsoft. Los parches deben ser probados y autorizados por el fabricante del cajero automático, lo que constituye un obstáculo adicional para mantener las máquinas actualizadas. Aumenta la posibilidad de que los cajeros automáticos, que a menudo tienen enlaces no encriptados con los sistemas de back-end de los bancos, sean más vulnerables a gusanos y malware. Por ejemplo, algunos cajeros automáticos Diebold se infectaron con el gusano Slammer en 2003, dijo ENISA.

A principios de año, se descubrió algo de malware sofisticado en los cajeros automáticos de Europa del Este. Grabó la información de la banda magnética en el reverso de una tarjeta, así como el PIN (Número de identificación personal). La impresora de recibos del cajero podría imprimir los datos de la tarjeta recolectada, que luego se encriptaron. Esa impresión podría obtenerse a través de un panel de control de software oculto que se muestra después de que el ladrón REPLACEó una tarjeta especial en la máquina.

No se ha revelado cómo se instaló el malware en los cajeros automáticos de Europa del Este. Pero ENISA advirtió que los cajeros automáticos ubicados en áreas desprotegidas con conexiones de poder accesibles y enlaces de red hacen que sea más fácil para un atacante.

"Los problemas de seguridad relacionados con los cajeros automáticos con demasiada frecuencia no son reconocidos", dijo el informe. Según el informe, muy pocos bancos, en su caso, han llevado a cabo una evaluación formal y completa de los riesgos de seguridad de sus infraestructuras ATM. "El uso del concepto de 'seguridad a través de la oscuridad' que ha ido junto con los dispositivos dedicados es conceptualmente incorrecto, y está demostrando serlo a medida que aumenta la tendencia mundial de fraude bancario".