Mejores prácticas para prevenir ataques BlackBox (caja negra) en cajeros automáticos.
No existe una panacea que solvente o elimine de manera definitiva los ataque que se perpetran contra los cajeros automáticos. Sin embargo, existe una serie de recomendaciones y mejores prácticas que pueden llegar a frustrar, en muchas ocasiones con bastante éxito, el trabajo de los atacantes.
Como es de conocerse, desde hace varios años, los organismos pertinentes, se ha encargado de estudiar, identificar y prever, los ataques perpetrados a los cajeros automáticos y con ello establecer lineamientos que reduzcan la posibilidad de éxito de los mismos, buscando con ello además, mantener la reputación de las Instituciones Financieras en los distintos países. Para lograr esto, es indispensable, que todos los involucrados en los procesos de diseño e instalación de los cajeros automáticos, se involucren en la aplicación de éstas prácticas al mayor grado posible.
A continuación presentaremos un resumen basado en una serie de ideas y mejores prácticas, que no busca ni pretende ser el “Estándar” pero que servirán de punto de partida para la implementación de protección a los cajeros automáticos con malware, dispositivos electrónicos de caja negra y otros métodos de ataque cibernético.
-
Es necesario establecer mecanismos que permitan mantener actualizados los parches de seguridad de los respectivos sistemas operativos utilizados por los cajeros automáticos. Esto basados en la experiencia obtenida con Windows XP el cuál dejó de tener soporte por parte de Microsoft, pero que sin embargo, hoy en día muchos ATMs continúan utilizando. Es importante que las Instituciones Financieras manejen todas las variables que comprometen la seguridad de sus cajeros y tomen medidas para reducir el riesgo de forma preventiva.
-
Cuando se trata de ataques por el mecanismo de Black Box, se han determinado una serie de factores alertantes que deben ser tomados en cuenta para detectar de manera temprana un ataque, estos son:
- Uso de alarmas que indique la apertura física de la caja superior o gabinete del cajero.
- Controlar si el cajero entra en modalidad supervisión de manera inesperada.
- Monitorear la actividad del dispensador para detectar desconexiones no esperadas.
- Detección de apagados y/o reinicio de cajeros de forma inesperada.
- Auditoría para la detección de anomalías en el cajero: cables sueltos, redireccionados, conexiones sin fijar del subsistema de comunicaciones entre otras.
- Inspección de los registros de contadores del cajero para detectar diferencias entre el saldo total del mismo y lo reportado en el registro de transacciones del Host.
-
Capacitar al personal encargado del mantenimiento para que pueda detectar cambios en las estructuras físicas de los ATMs que sean indicio de acceso no autorizado, incluyendo orificios en las carcasas, daños en las cerraduras y cableado alterado y sólo permitir accesos autorizados y registrados de manera electrónica.
-
Contar con asesoría de los proveedores de Servicios profesionales y otros especialistas en materia de ATMs para la correcta configuración e instalación de las soluciones que permiten la detección y prevención de ataques.
-
Cumplir con las normas PCI actuales aplicables para ATMs.
-
Evaluación constante del riesgo considerando las diferencias de software y firmware que pueden tener los cajeros incluso del mismo modelo.
-
Evitar que se instalen dispositivos USB no autorizados (USB marcado en lista blanca).
-
Cifrar el disco duro y aplicar soluciones de encriptación y autenticación para la protección de las comunicaciones entre los diferentes módulos o componentes del ATM y el núcleo central de la PC.
-
Desactivar la capacidad de reinicio por USB o CD/DVD de la BIOS.
-
Usar protección para la contraseña de la BIOS evitando su modificación no autorizada.
-
No permitir acceso al escritorio de Windows en el cajero y tener una estricta política de gestión de contraseñas.
-
Implementar una carga de clave remota (RKL) segura para claves de encriptación del cajero automático y evitar el ingreso de éstas claves a través del teclado del supervisor o administrador del cajero automático.
-
Implementar una encriptación robusta entre el cajero automático y el host. Además activar códigos de autenticación de mensajes para proteger la integridad de los mensajes entre el cajero automático y el host.
-
Garantizar la cobertura del CCTV del lugar donde se encuentra el cajero y sus alrededores.
-
Instruir al personal sobre los peligros de introducir facilidades para ataques de blackbox sin darse cuenta en la Red de ATMs de la empresa.
-
Mantener un ambiente seguro a nivel físico y en forma razonable en toda la organización.
Tener cuidado con la instalaciones de cajeros de lobby sobre todo que respeten las normas de instalación y posicion frente a la vulnerabilida de exposición de cables. -
Estar al día con los informes de Inteligencia que se relacionan con nuevas y emergentes amenazas en la región o paises cercanos.
-
Informar de manera oportuna a las autoridades pertinentes todo intento que comprometa la seguridad de los sistemas.
Generalmente estos equipos son retirados en la brevedad posible una vez culminado el ataque , si todas estas políticas se implementan y mantienen constantemente estos equipos pueden residir entre 5 a 27 minutos en un ATM por lo tanto el tiempo de respuesta a incidentes el clave para minimizar las pérdidas.
Para cualquier pregunta o asesoría puede ponerse en contacto con nuestro grupo de expertos en ATMS