Lamassu Industries, el proveedor de cajeros automáticos de bitcoin (BTC), implementó una actualización de seguridad para corregir vulnerabilidades halladas por el equipo de hackers éticos de IOActive.
Contenido:
Actualización de Lamassu
Lamassu decidió implementar un parche de seguridad en su línea de cajeros automáticos de BTC debido a una serie de vulnerabilidades que podrían haber sido aprovechadas por delincuentes para estafar a los usuarios.
La actualización se basó en los resultados publicados en un informe de IOActive, una empresa de seguridad informática que, en 2023, designó a un equipo de hackers éticos para que intentaran acceder al sistema. Al respecto, una sección del documento dice:
“IOActive tuvo acceso a algunas de estas máquinas, específicamente al cajero automático de Lamassu en el Duero (https://lamassu.is). Esto nos brindó la oportunidad de evaluar la seguridad de estos dispositivos informáticos, más específicamente, para intentar lograr un control total sobre ellos.”
El informe permitió a Lamassu identificar las brechas en el sistema que podrían haber dejado el camino libre a los hackers para obtener el control total del cajero automático y ejecutar múltiples estafas.
Perspectiva de IOActive
En relación con los hallazgos publicados por la compañía de seguridad, Gunter Ollman, Director de Tecnología de IOActive, declaró que este tipo de vulnerabilidades le permitirían a “un atacante sofisticado” modificar o reemplazar la experiencia de usuario en el cajero automático.
Según Ollman, esto incrementa el riesgo de que los usuarios sean víctimas de ataques por ingeniería social que converja en el robo de información sensible o directamente la sustracción no autorizada de sus fondos.
A su vez, el director añadió que, cuando un dispositivo puede ser comprometido hasta el nivel de su sistema operativo, el alcance de su ataque contra el cliente únicamente se verá influenciado por la confianza que se tenga, ya sea en el equipo o en el fabricante.
Detalles del informe de seguridad
Los resultados de las investigaciones del equipo de IOActive indicaron que un usuario con pocos privilegios podía abrir una ventana de terminal o ejecutar aplicaciones durante el arranque del sistema.
Por otro lado, a través del lector de códigos QR del cajero automático, el equipo pudo cargar un código personalizado mediante el que ejecutaron un exploit para obtener acceso a la raíz del sistema que les permitió hacerse con la contraseña de root.
La contraseña, además de ser válida para todos los dispositivos, dio la entrada para controlar completamente el cajero automático, lo que fue reportado en el mismo informe emitido por IOActive.
Como respuesta, Lamassu se encargó de desplegar una solución a través de la implementación de un parche de seguridad antes de publicar los resultados de la investigación de IOActive, por lo que la empresa procedió a notificar a los propietarios de los cajeros e indicarles que actualizaran el sistema.
