El fabricante de cajeros Diebold Nixdorf ha advertido que un dispositivo basado en software robado es capaz de obligar a los cajeros a dar todo el dinero que tienen sin ningún límite.

Este tipo de ataques se llaman 'jackpotting', ya que da la impresión de que los atacantes han ganado el 'premio gordo' en las apuestas, con el cajero soltando billetes constantemente y sin tener en cuenta la cuantía.

Por supuesto, esta no es la primera vez que hackers consiguen que los cajeros expulsen dinero usando malware, y en el pasado hasta el FBI ha advertido contra este tipo de ataques. Pero este ataque es muy diferente, porque se aprovecha del código creado por el propio fabricante de los cajeros.

Cajeros automáticos hackeados

En efecto, Diebold Nixdorf ha confirmado que los ataques que se están observando en las últimas semanas están basados en software propietario desarrollado por la propia compañía; y que, de alguna manera, los atacantes han podido obtener y aprovechar.

Normalmente, el 'jackpotting' de un cajero implica aprovecharse de vulnerabilidades en el software, conectando un dispositivo (una 'caja negra' o 'black box') que realice llamadas al sistema con comandos que ordenan al aparato soltar todo el dinero que tiene disponible. Sin embargo, en este caso no es necesario, ya que los atacantes tienen el software que permite realizar esas llamadas al sistema sin necesidad de hackearlo.

Para realizar el ataque aún es necesario conectar un dispositivo al cajero, lo que implica robar la llave que abre la cubierta y permite el acceso al ordenador interno, o bien romperla o abrirla forzosamente usando herramientas. Este es el principal punto débil de este ataque, ya que normalmente abrir un cajero es algo que no pasa desapercibido. Diebold Nixdorf ha confirmado que algunos cajeros han sido destruidos parcialmente para conseguir acceso físico.

Decenas de billetes en segundos

Pero si el atacante es capaz de llegar al ordenador interno y conectar el dispositivo con el software a través de un cable USB, todo es fácil a partir de entonces. El dispositivo contiene partes del software que usan los cajeros, y de esta manera es posible ordenar al cajero que dispense dinero sin necesidad de identificación o de hacerse pasar por un cliente.

El dispositivo se hace pasar por el cajero, ya que el atacante debe desconectar el cable que va entre el dispensador y el ordenador para conectarlo a la 'caja negra' que ejecute los comandos.

De esta manera, el atacante podría convertir el cajero en una 'fuente de dinero', que suelte billetes sin ningún tipo de límite. En algunos casos, el cajero puede dispensar 40 billertes cada 23 segundos de esta manera, por lo que la cantidad de dinero robado en poco tiempo puede ser escandalosa.

Por el momento, Diebold Nixdorf no ha confirmado exactamente dónde se están produciendo los ataques, sólo hablando de 'varios países europeos' y sin indicación si se están realizando en España.