¿Cómo proteger los cajeros automáticos? Aplicando confianza cero

A pesar de los avances en la digitalización de la banca en América Latina, los cajeros automáticos siguen siendo uno de los eslabones más vulnerables en estos entornos debido a su exposición.

Para el experto de Producto de Ciberseguridad de Auriga, Néstor Santolaya, no solo es fundamental aplicar técnicas de monitoreo para tener control de los ATM, sino también abordar su seguridad implementando soluciones de ciberseguridad que los consideren dispositivos críticos de uso específico, y que incluyan la aplicación de una estrategia de confianza cero.

“Es crucial que los bancos adopten políticas estrictas de actualización, segmentación de red y autenticación multifactorial para reducir los riesgos”, aconsejó el ejecutivo, en entrevista escrita con ComputerWeekly en Español. Pero también se requiere reforzar la educación de usuarios y operadores, y redefinir procesos para cambiar la cultura organizacional con respecto a la ciberseguridad de toda la organización.

Néstor Santolaya

¿Cuáles son, actualmente, los principales riesgos y amenazas para los cajeros automáticos en América Latina?

Néstor Santolaya: Como pudimos ver en 2023, con el caso del malware FixS en México, o en casos más recientes de ataques a vulnerabilidades de algunos modelos específicos, los cajeros automáticos en América Latina enfrentan nuevas amenazas que, a menudo, explotan tanto patrones ya conocidos como nuevos vectores de ataque.

Entre las principales destacan los ataques de malware, que permiten a los ciberdelincuentes obtener el control de los cajeros una vez infectados, y los ataques de tipo Black-Box, que permiten controlar los periféricos críticos mediante dispositivos conectados externamente.

Ambos tipos de ataques tienen como objetivo dos vertientes principales: skimming, para robar datos del usuario o de sus tarjetas, y el jackpotting, mediante el cual se consigue dispensar efectivo sin necesidad de una tarjeta.

La creciente conectividad de los cajeros, en su transición a infraestructuras más digitalizadas, su modernización y la implantación de nuevas tecnologías también incluyen nuevas vulnerabilidades que requieren una respuesta proactiva en términos de seguridad.

¿Cómo se puede equilibrar la necesidad de expandir el servicio con la seguridad necesaria para su protección, en el caso de las redes de cajeros automáticos?

Néstor Santolaya: Modernizar el parque de cajeros y expandir las capacidades que estos ofrecen no debe entrar en conflicto con la ciberseguridad. El equilibrio entre expansión y ofrecer al usuario la seguridad necesaria pasa por adoptar un enfoque integral de protección, donde se incluya la tecnología, mejoras en la infraestructura y concienciación de los usuarios en materias de seguridad.

Es fundamental implementar soluciones de ciberseguridad que aborden la seguridad del ATM considerándolo un dispositivo crítico de uso específico. No basta con aplicar técnicas de monitoreo en tiempo real, segmentación de red o autenticación robusta, ya que la  clave para estar protegidos frente a las futuras amenazas desconocidas que están por llegar es aplicar estrategias de tipo Zero Trust, donde se desconfíe de cualquier elemento que no sirva al propósito específico del ATM, además de reforzar la educación tanto para usuarios como para operadores.

¿Por qué México es uno de los principales focos de actividad de malware para cajeros automáticos? ¿El mercado tiene alguna particularidad que lo hace propenso a estos ataques?

Néstor Santolaya: México es un objetivo atractivo para los ataques de malware en cajeros automáticos por varias razones. A pesar de no ser uno de los países donde hay una mayor cantidad de ATM per cápita (en México hay un ATM por cada 1.600 habitantes, mientras que en países como Uruguay hay un ATM por cada 360 habitantes), el extendido uso de efectivo y la alta dependencia de los ciudadanos de éste convierten a los cajeros en un blanco lucrativo. Además, la presencia de organizaciones de ciberdelincuentes altamente organizados y la disponibilidad de herramientas de malware en mercados clandestinos facilitan estos ataques.

El extendido uso de efectivo y la alta dependencia de los ciudadanos de éste convierten a los cajeros en un blanco lucrativo.

Es necesario destacar también que, en México, se pueden encontrar expertos en ciberseguridad que no siempre dedican su amplio conocimiento para la defensa, sino para realizar actividades ilícitas. Este hecho, unido a todo lo ya comentado, hace de México, junto a Rusia, los principales focos mundiales donde se han detectado de forma histórica la mayoría de ataques con nuevas muestras de malware hasta entonces desconocidas.

Por último, la volatilidad del peso frente al dólar puede generar periodos en los que el efectivo tenga aún más demanda, ya no sólo para los delincuentes locales, sino también para los delincuentes del otro lado de la frontera, ya que los ATM de las zonas turísticas o fronterizas deben disponer de más efectivo y eso aumenta el interés de dichos delincuentes.

¿Cree que la llegada de servicios financieros y de banca digital incluso a pequeñas tiendas marca el inicio de la desaparición de los cajeros automáticos?

Néstor Santolaya: No necesariamente. Un claro ejemplo es la zona de Asia-Pacífico, donde el uso de efectivo en los puntos de venta se ha reducido por debajo del 10 % de las transacciones y, a pesar de ello, países como Japón o Tailandia lideran el ránking mundial en cantidad de cajeros automáticos por habitante, ya no sólo por la necesidad de disponer de efectivo para sus habitantes, sino también para ofrecer nuevos servicios o simplemente como apoyo al comercio extranjero o al turista.

Aunque la digitalización de los servicios financieros sigue transformando la manera en que las personas acceden al dinero, el efectivo sigue siendo una necesidad en muchas regiones, y mucho más en la zona de Latinoamérica (25 %), cuya tasa de uso de efectivo en puntos de venta es una de las más altas del mundo, solo por superada por la zona de Medio Oriente y África (30 %)

La coexistencia de la banca digital con los cajeros automáticos es un escenario más probable, donde los cajeros evolucionan para ofrecer servicios adicionales.

¿Considera que los bancos y financieras aún tienen carestías en cuanto a los hábitos de ciberhigiene básicos con respecto a los cajeros automáticos? ¿A qué se debe esta omisión?

Néstor Santolaya: Las deficiencias en materia de ciberseguridad de dichas instituciones es un reflejo de la sociedad, donde la falta de concienciación y educación en dichos hábitos crean dichas brechas en la ciberhigiene de muchas instituciones financieras. Esto se debe, en gran parte, a la falta de formación en ciberseguridad, el hardware obsoleto de los dispositivos, el uso de sistemas operativos antiguos y una capacitación del personal insuficiente.

En algunos casos, el costo de actualizar infraestructuras heredadas actúa como una barrera y, en otros, la falta de concienciación sobre la sofisticación de los ataques deja expuestos a los cajeros, ya que no se considera crítico corregir las vulerabilidades detectadas, aplicar mecanismos avanzados de autenticación o incluso implementar técnicas robustas de cifrado de las comunicaciones.

Es crucial que los bancos adopten políticas estrictas de actualización, segmentación de red y autenticación multifactorial para reducir los riesgos. Las instituciones gubernamentales pueden desempeñar un papel clave en la seguridad de los cajeros automáticos, creando nuevas regulaciones de ciberseguridad como ya se está haciendo en otras regiones, implementando medidas que fomenten la cooperación entre empresas de seguridad, instituciones financieras o incluso la educación pública. La definición de estándares obligatorios, exigir auditorías periódicas de dispositivos críticos o incluso aplicar sanciones a las instituciones que inclumplan dichas regulaciones son medidas que pueden ayudar significativamente a mejorar los hábitos de ciberhigiene de las instituciones financieras.

Se prevé que el uso de la IA por los ciberatacantes traiga ataques más sofisticados y difíciles de detectar. ¿Cómo afectará esta tendencia la ciberseguridad de los cajeros automáticos?

Néstor Santolaya: De forma histórica, la ciberseguridad se ha basado en una carrera al más puro estilo del gato y el ratón, donde existe un tira y afloja entre los delincuentes y los técnicos dedicados a la ciberseguridad, donde los primeros simplemente aprovechan cualquier vulnerabilidad para superar las medidas defensivas que han implementado estos últimos. La inteligencia artificial es un arma de doble filo, pero simplemente servirá como una herramienta para hacer más compleja y sofisticada esta lucha histórica.

El uso de inteligencia artificial por parte de los atacantes significa que las amenazas evolucionan más rápido y son más difíciles de detectar con métodos tradicionales, por lo que será necesario aplicar la misma inteligencia artificial como aliada en la ciberseguridad, permitiendo detectar patrones anómalos en tiempo real, predecir amenazas y reforzar la protección de los sistemas.

Considerando que el concepto de confianza cero ha probado ser eficaz para asegurar los cajeros automáticos, ¿qué detiene a las organizaciones financieras de implementarlo de forma eficaz?

Néstor Santolaya: Uno de los principales obstáculos es la resistencia al cambio y la complejidad de migrar de sistemas heredados a un modelo Zero Trust. Muchas instituciones financieras aún operan con arquitecturas de seguridad tradicionales, y no han adoptado un enfoque basado en reducir a la mínima expresión la superficie de ataque de los ATM.

Para adoptar dicho enfoque, es necesario realizar una revisión integral de la infraestructura de seguridad, realizar cambios culturales y organizativos que implicarán redefinir procesos y capacitar al personal, y realizar un análisis exhaustivo de los procesos estrictamente necesarios que son imprescindibles en los cajeros automáticos para su operativa específica.

Además, la inversión inicial requerida y la complejidad necesaria frente a otros enfoques tradicionales pueden ser factores que retrasan o deniegan su implementación, especialmente en organizaciones financieras que nunca han sufrido un ataque, que no se sientan amenazadas, o que no se han percatado de los costos económicos y de la pérdida de confianza de sus clientes que supondría si son víctimas de un ataque de este tipo.

Sin embargo, los beneficios en términos de seguridad frente al riesgo que supone no implementarlo superan ampliamente estos desafíos, y es crucial que las organizaciones comiencen a adoptar este modelo para proteger sus infraestructuras críticas.