lunes, 1 de noviembre de 2010

Cajero 100% abierto - Banco Itaú


Odio ser repetitivo, pero no se si recuerdan el post que escribí hace un tiempo sobre el Banco Itaú, donde mostraba como en uno de sus cajeros me encontré con una ventana de su solución antivirus.

Como siempre mi curiosidad me atrajo de nuevo a dicha sede del banco, más allá de que la sede del mio, que se encuentra a unos pocos metros, ya se encontraba funcionando con normalidad. Para mi "sorpresa" noté que el cajero junto al que me referí en el post anterior era el que ahora tenía el "problema".

Pero el problema no era el mismo de antes...sino que un "poquito" más grave. Como siempre digo, una imagen vale más que mil palabras:






Por un problema de un controlador no encontrado, el inicio automático del sistema del banco falló, dejando completamente expuesto al cajero. Yo, en mi afán de ayudar, le di "clic" con el dedo al botón "Aceptar", pero al parecer ya era demasiado tarde.

Leer más...


Esto simplemente me dejo el cajero completamente accesible, como una computadora de un cybercafé:







Ahora, algunos de ustedes se estarán preguntando: "¿Pero cómo, no tenés mouse ni teclado?"...Y si, es verdad, no tengo mouse, pero la pantalla es táctil, y un teclado puede ser tanto físico como virtual. Dentro de los sistemas operativos Windows, bajo las herramientas de accesibilidad, disponemos de un "teclado en pantalla" que nos permite realizar todo lo que podríamos hacer con un teclado tangible.

En mi caso no lo abrí ya que no me divierte mucho la idea de terminar detrás de las rejas, pero quiero demostrar con esto lo vulnerable que se encontraba el equipo. Simplemente me limité a hacer "clic" con el dedo en "Inicio/Ejecutar", allí observe que el ultimo parámetro que había sido ejecutado era "CMD", por lo que acepté el mismo y aquí pueden ver los resultados:






Como verán podría haber hecho lo que quisiera en el sistema, desde averiguar la estructura de red del banco como también analizar el software de gestión del cajero en búsqueda de la dirección y los datos de acceso a las bases de la red Banelco. Imaginen lo que una persona con malas intenciones y con un poco de conocimiento podría hacer...desde hacerse "rico" editando su estado de cuenta hasta el robo de los datos de miles de usuarios.

No verifique si el equipo poseía conexión a internet por obvias razones (cagaso), pero de haber tenido, alguien podría simplemente abrir un sitio web infectado con una amenaza especialmente diseñada que le permita el acceso remoto al cajero, o un simple keylogger que registre todos los datos de los futuros usuarios del mismo.

Como ven, los bancos, entidades que normalmente se caracterizan por poseer protocolos de seguridad muy estrictos, también pueden fallar. Hay que tener en cuenta que no solo son los clientes del banco Itaú los que se ven afectados por esto, sino también todos los clientes de la red Banelco.

Como posibles soluciones recomendaría que la empresa Banelco estableciera requerimientos más estrictos sobre los equipos que se adhieren a su red y controles periódicos de seguridad tanto por parte de dicha red de cajeros como del banco que los aloja.

Como última reflexión les cuento que en la mayoría de los países los cajeros disponen de un sistema operativo propietario el cual inicia al encender el cajero y no se basan en sistemas operativos Windows, los cuales no fueron diseñados para esto. La seguridad de nuestra información no es un privilegio, es un derecho, exijamos su cumplimiento.


Ximo

3 comentarios:

  1. Otra vez! Cada vez confío menos en los bancos,che! Bien por exponer esto señor Ximo.Abrazo!

    ResponderEliminar
  2. La idea no es generar desconfianza, solo conciencia. Muchas gracias por su comentario don Milio!

    Abrazo!

    ResponderEliminar
  3. Realmente alarmante y llamativo pero a la vez muy importante, muy buena la información los felicito.
    Les agradezco por la calidad de información que bridan, nunca me defraudan.
    Les comento ya que se que les va a importar, unos conocidos están realizando un proyecto muy bueno que se llama
    www.ExpoSeguridad2011.com.ar se realiza en
    septiembre, realmente llamativo y muy serio se los recomiendo.

    ResponderEliminar