Las ventajas de las nuevas tecnologías, como la biometría, para autenticación en cajeros automáticos que usarán en breve numerosas entidades financieras, facilitarán la vida de los consumidores, pero también pueden ser una fuente de robo de información sensible por parte de los ciberdelincuentes.
Los cajeros automáticos siempre han sido foco de las acciones de los ciberestafadores en busca de los datos de tarjetas de crédito. “Todo comenzó con los primeros skimmers, aparatos caseros conectados a un cajero automático, capaces de robar información de la banda magnética de la tarjeta y el código pin con ayuda del teclado PIN o una cámara web de un cajero automático falso.”
Con el pasar de los años y el desarrollo de la tecnología estos dispositivos han mejorado para pasar cada vez más desapercibidos. “Con la implementación de las tarjetas de chip y pin, se hace mucho más difícil, pero no imposible, clonarlas. Los dispositivos han evolucionado hacia los llamados “shimmers”: básicamente el mismo dispositivo, pero capaz de recoger información de los chips de la tarjeta, con información suficiente para llevar a cabo una ataque de retransmisión online. La industria bancaria está respondiendo con nuevas soluciones de autenticación, algunos de los cuales están basados en biometría.”
Según una investigación de Kaspersky Lab sobre ciberdelincuencia sumergida, “ya existen al menos doce vendedores que ofrecen skimmers capaces de robar las huellas dactilares de las víctimas. Y al menos tres de ellos ya están analizando dispositivos que podrían obtener ilegalmente datos de los sistemas de reconocimiento de venas de la mano y del iris.”
De hecho, ya se habían detectado las primeras “pruebas de pre-venta” de skimmers biométricos en septiembre de 2015 y en las mismas, se detectaron errores, como “el problema principal era el uso de módulos GSM para la transferencia de datos biométricos -que eran demasiado lentos para transferir el gran volumen de datos obtenidos.” Por lo que cabe esperar, según los expertos en seguridad, que las nuevas versiones de skimmers utilicen otras tecnologías de mayor velocidad para transferir los datos.
Así mismo, han sido detectados chats de debate en comunidades sumergidas relacionados “con el desarrollo de aplicaciones móviles basadas en la colocación de máscaras sobre el rostro humano.” Con este tipo de app, los hackers pueden tomar la fotografía de un usuario, después de ser publicada en las redes sociales y utilizarla para engañar a los sistemas de reconocimiento facial.
“El problema de la biometría es que es imposible cambiar la imagen de la huella digital o el iris, a diferencia de las contraseñas o códigos PIN que pueden ser fácilmente modificados en caso de estar comprometidos. Por lo tanto, si los datos se ven comprometidos una vez, no será seguro usar ese método de autenticación de nuevo. Es muy importante mantener dichos datos protegidos y transmitirla de manera segura. Los datos biométricos se registran también en los pasaportes modernos – llamados pasaportes electrónicos – y visados. Por lo tanto, si un ciberatacante roba un pasaporte electrónico, tendrá acceso a los datos biométricos de esa persona. Roban la identidad de una persona”, afirma Olga Kochetova, experta en seguridad de Kaspersky Lab.
La utilización de herramientas con capacidad de poner en peligro los datos biométricos no es la única ciberamenaza potencial frente a los cajeros automáticos, según los analistas de Kaspersky Lab, pues se espera que los cibercriminales continúen realizando ataques “basados en malware, ataques de blackbox y ataques a la red para aprovechar los datos que luego pueden ser utilizados para robar el dinero de los bancos y sus clientes.”