¿Qué tan seguros son los cajeros automáticos de hoy en día?

Una de las principales preocupaciones a las que se enfrentan los clientes de los bancos y las instituciones financieras es la seguridad de los cajeros automáticos.

Con los criminales cada vez más prominentes en la industria financiera, los bancos necesitan instalar precauciones de seguridad más fuertes no sólo para su negocio, sino también para proteger la información personal y las cuentas bancarias de sus clientes.

¿Cómo funciona un cajero automático?

En el sentido más amplio, un cajero automático funciona aceptando una solicitud de efectivo de un usuario, verificando la autoridad del usuario para acceder a una cuenta bancaria en particular, asegurándose de que la cuenta tenga suficiente dinero para satisfacer la solicitud y dispensando el dinero, todo ello sin la ayuda de un empleado bancario o cajero.

Desde el principio, hasta el primer cajero automático puesto en servicio en Londres en 1967, la identidad del usuario fue el principal problema que los bancos necesitaban resolver. En lugar de la actual tarjeta de plástico con banda magnética y microchip integrado, la primera máquina aceptó un trozo de papel con una sustancia ligeramente radiactiva -carbono-14- impreso en él en un patrón particular. La máquina hizo coincidir el patrón con un código numérico introducido por el usuario. Si coincidían, y si los fondos estaban disponibles, la máquina dispensaba hasta £10 (una cantidad que hoy en día vale poco más de US$200).

Cuando se utilizan cajeros automáticos modernos, el cliente inserta una tarjeta de plástico en el lector de la máquina, que registra los datos codificados en la banda magnética de la tarjeta o en su chip integrado. Le pide al cliente un número de identificación personal, generalmente llamado PIN, que suele tener cuatro o seis dígitos.

Si la tarjeta y el PIN coinciden, entonces el cliente puede depositar dinero, verificar el saldo de una cuenta o, más comúnmente, solicitar un retiro de efectivo. Cuando el cliente especifica una cantidad de dinero, la máquina utiliza una conexión a Internet o una línea telefónica para conectarse al banco del cliente, verificando que los fondos están disponibles y dispensando el efectivo.

¿Qué problemas de seguridad tienen los cajeros automáticos?

Debido a que los cajeros automáticos contienen grandes cantidades de dinero en efectivo, son blancos atractivos para los delincuentes. Los robos más descarados han consistido en robar físicamente el cajero automático en su conjunto, aunque los ladrones también han abordado a los usuarios de los cajeros automáticos, que, como era de esperar, es probable que lleven dinero en efectivo. Como resultado, la mayoría de los cajeros automáticos de hoy en día tienen cámaras incorporadas, para grabar las pruebas en caso de un atraco u otro delito, o para controlar a las personas que puedan estar manipulando la máquina.

Un robo más sofisticado implica la vigilancia encubierta del dispositivo y de sus usuarios. Los ladrones pueden instalar pequeñas cámaras en diferentes lugares de un cajero automático, a veces ocultas por paneles de plástico que parecen partes normales de la máquina. Con ellos, pueden capturar el número de la tarjeta, su fecha de vencimiento, el nombre en la tarjeta, e incluso el número del valor de verificación de la tarjeta de tres dígitos (CVV) en el reverso. Esa es información más que suficiente para usar la tarjeta y hacer que las compras en línea no autorizadas parezcan legítimas. Los estafadores también pueden vender los datos en los mercados negros en línea.

Al instalar ranuras de tarjetas falsas, o incluso archivos adjuntos adicionales (llamados "skimmers") en la parte superior de la ranura de tarjetas existente, los atacantes pueden leer la información de las bandas magnéticas de las tarjetas. Eso puede ayudarles a hacer tarjetas duplicadas falsas para usar en otros cajeros automáticos.

Las cámaras ocultas también permiten a los ladrones ver a los usuarios introducir sus números PIN. Un estudio reciente descubrió que una cámara térmica también puede capturar los PIN, identificando qué teclas numéricas están ligeramente calientes, ya que fueron presionadas por el usuario. Específicamente, los investigadores encontraron que la precisión de la detección del PIN podría ser de hasta el 78 por ciento cuando se capturan los rastros de calor en el teclado dentro de los 30 segundos de la autenticación. Un estudio similar revela que era posible encontrar los cuatro dígitos del PIN a una distancia de 35 centímetros y si la cámara térmica se colocaba en un ángulo entre 30 y 45 grados. Sin embargo, era mucho más difícil identificar la secuencia correcta de los dígitos.

¿Se pueden hackear los cajeros automáticos?

Los delincuentes expertos en tecnología tienen varias opciones para hackear cajeros automáticos. Las carcasas exteriores de los cajeros automáticos suelen ocultar puertos USB ocultos, utilizados para el mantenimiento y la actualización del software. Si un atacante puede localizar el puerto oculto, puede insertar una unidad USB portátil con un programa malicioso instalado, tomando el control de la máquina. Eso esencialmente permite al atacante dispensar dinero en efectivo sin usar una tarjeta.

Hace unos años, un nuevo ataque se hizo popular. Llamado un ataque de "caja negra" por la policía, el robo consiste en hacer agujeros en la carcasa del cajero automático y desconectar físicamente los cables entre la computadora y el mecanismo que realmente dispensa el dinero en efectivo. Si se conecta otro ordenador a los controles del cajero automático, el atacante puede ordenar que libere grandes cantidades de dinero en efectivo.

La conexión de telecomunicaciones del cajero automático ofrece otra forma de ataque. Al interceptar las comunicaciones entre la máquina y el banco, el atacante puede recopilar datos útiles de la tarjeta y de la cuenta. Esto también puede ofrecer una forma de instalar remotamente software malicioso y tomar el control de la propia máquina: por ejemplo, emitir comandos para dispensar dinero en efectivo.

¿Qué medidas de seguridad son o pueden ser implementadas?

Los fraudes y robos relacionados con los cajeros automáticos no se pueden evitar por completo. Los bancos están trabajando para desarrollar medidas de seguridad adicionales, como el CVV de tres dígitos en el reverso de las tarjetas. Las personas también pueden tomar medidas preventivas para protegerse cuando utilizan los cajeros automáticos:

Si su banco los emite, utilice una tarjeta con chip. Proporcionan una mayor seguridad al verificar que la tarjeta física es auténtica, y no un duplicado falso.

A menudo es más seguro usar un cajero automático de interior, en lugar de uno directamente en la calle, al que los delincuentes pueden acceder más fácilmente antes o después de su transacción.

Compruebe el cajero automático para ver si está físicamente alterado o dañado, si hay algo conectado al lector de tarjetas incorporado (para leer la banda magnética) o si hay cámaras pequeñas alrededor del teclado. Evite usarla si algo parece sospechoso.

Tenga cuidado con su entorno y con las personas que se encuentran en el área de los cajeros automáticos. Una persona detrás de usted en la fila puede estar tratando de ver el PIN que usted ingresa en el teclado.

Cubra el teclado cuando introduzca su PIN para que ningún observador o cámara espía pueda verlo.

Si introduce el PIN correcto pero la transacción falla, póngase en contacto inmediatamente con el banco que emitió la tarjeta para advertirles de que podría haber un problema con la máquina o con su cuenta.

¿Cómo pueden las nuevas tecnologías hacer que los cajeros automáticos sean más seguros?

A medida que la carrera armamentista entre los profesionales de la seguridad de los cajeros automáticos y los delincuentes continúa, los clientes se verán obligados a utilizar métodos de seguridad cada vez más avanzados para identificarse en los cajeros automáticos. Un método es la autenticación de dos factores, que añade una capa adicional de seguridad que un usuario debe pasar antes de que se le permita el acceso a una cuenta.

La autenticación de dos factores, que a menudo se utiliza al iniciar sesión en servicios en línea como los medios sociales y los sistemas de correo electrónico, ha consistido en introducir no sólo el PIN, sino también un código numérico que se recibe por mensaje de texto en el teléfono del usuario y que sólo es válido durante un breve período de tiempo.

Este método, que ya no se considera seguro porque es tan fácil simular falsamente números de teléfono móvil, se está eliminando gradualmente en favor de aplicaciones para teléfonos inteligentes que generan nuevos códigos cada pocos segundos, o incluso claves físicas. Sin este código de una sola vez, un atacante no puede acceder a la cuenta bancaria de la víctima.

Es probable que los métodos futuros de autenticación de usuarios en los cajeros automáticos incluyan datos biométricos, como las huellas dactilares, que podrían aumentar -o incluso sustituir- las tarjetas y los números PIN que han llegado a los bancos y a los usuarios a través de los últimos 50 años de operaciones bancarias automatizadas.

Fuente: The Conversation