El malware ATM JaDi y la posibilidad de vulnerabilidades internas

La semana pasada circuló la noticia de un malware llamado ATM JaDi, el cual es capaz de enviar comandos personalizados para dispensar dinero de los cajeros. Esto hizo dudar que el programa malicioso pudo haber sido desarrollado por gente interna a la institución bancaria.

El malware no utiliza sistemas estándar como XFS, JXFS o CSC, que comúnmente se encuentran en cajeros automáticos; en su lugar, el código del malware está escrito en un lenguaje de programación de Java.

Según el ingeniero de preventa para Panda Security, Shinué Salas, los cajeros automáticos resultan vulnerables a ataques ya que la mayoría solo tiene instalados sistemas de antivirus, que muchas veces inclusive se encuentran desactualizados. En sus palabras, un antivirus tiene múltiples componentes para proteger, pero en los cajeros solo instalan el sistema de antivirus, no quieren dañar el performance ni afectar el funcionamiento del cajero, así que lo reducen al único mecanismo de defensa que es la firma que desarrolla el fabricante.

¿Qué deben hacer las compañías?

Este malware fue diseñado puntualmente y de manera específica y no iba a ser detectado por ningún sistema de antivirus. Las instituciones bancarias deben de integrar elementos para sus cajeros que no solo detecten malware. El antivirus ya no es suficiente, se necesitan plataformas para identificar el comportamiento de todas las aplicaciones y de los usuarios para poder generar un contexto más acertado y puntual. A continuación, Panda Security da 5 ejemplos de cómo hacer frente ante estas situaciones:

1.       Contar con un servicio de Threat Hunting, el cual reduce drásticamente los riesgos, mejora la detección de ataques y los tiempos de respuesta y reduce la superficie de ataque. En una empresa es imprescindible evitar las fugas de información, causadas tanto por el malware como por empleados. Ya no es suficiente sólo tener elementos tecnológicos en las diferentes barreras de protección, se debe crear un ambiente en donde todas las herramientas se compartan.

2.       En un aspecto más cultural, las empresas deben cuidar que todos los cambios que se hagan en los cajeros estén bien documentados y regulados y que tengan bien definidos los roles de custodio, saber quién es el dueño y el usuario de la información, de esa manera se creará un sistema de gobierno para el uso de todos los elementos. El custodio procura que el uso de esa información sea adecuado a la política de seguridad y el dueño definirá los controles de seguridad sin afectar la disponibilidad, integridad y confidencialidad de la información. Si no hay roles definidos no se podrá saber por dónde llegó el ataque.

3.       El análisis del comportamiento de los usuarios (UBA), tal y como lo define Gartner, es un proceso de ciberseguridad sobre la detección de amenazas internas, ataques dirigidos y fraude financiero. Las soluciones de la UBA analizan los patrones de comportamiento humano y luego aplican algoritmos y análisis estadísticos para detectar anomalías significativas a partir de esos patrones, anomalías que indican amenazas potenciales. Es necesario que las plataformas tengan este proceso y así se modelan comportamientos de usuario. Ejemplo: hay un administrador de la red de cajeros; mismo que instala, configura, ejecuta y la deja funcionado. Si un administrador se desvía de ese comportamiento, se analiza ese patrón sospechoso.

4.       Debería ser imperativo en las compañías que la misma persona no tenga todo el poder, sino que haya una que no conozca la red, otra la aplicación y la que brinda los accesos no conozca la red ni la aplicación. Esto es, utilizar el tema multifactor. La empresa debe vigilar que no resida en una persona todo el conocimiento de la estructura de la red de cajero y los servicios que corren.

5.       Por último, Panda Security recomienda utilizar Panda Adaptive Defense, una suite de ciberseguridad que integra soluciones Endpoint Protection y Endpoint Detection and Response (EDR), con los servicios de 100% Atestación y Threat Hunting and Investigation. La combinación de estas soluciones y servicios proporciona una visibilidad detallada de toda la actividad en todos los endpoints, un control absoluto de todos los procesos en ejecución, y la reducción de la superficie de ataque.

La solución corporativa de Panda Security, Adaptive Defense, protege los datos e información sensible de los clientes de la entidad financiera, detectando fugas de información tanto si viene del malware como de sus empleados, siendo uno de los aspectos más valorados en el sector.

Tip: Siempre que sea posible, utiliza las máquinas que están dentro del banco mejor que las que están en la calle, y mucho mejor que las que están en las estaciones de transporte público, centros comerciales y otros lugares de acceso más sencillo para el cibercriminal. Por último, guarda siempre el recibo de las operaciones que realices y compáralo frecuentemente con los movimientos de tu cuenta. Si algo no te cuadra, avisa a tu banco de inmediato para que lo puedan solucionar. Algunas entidades tienen plazos máximos para afrontar a estos problemas, así que no lo dejes correr demasiado.