Hechos clave:
-
Una firma de seguridad encontró varias vulnerabilidades en los cajeros BATM2.
-
Especialistas señalan varias medidas de seguridad para usar y operar un cajero de bitcoin.
Uno de los modelos de cajeros automáticos de Bitcoin más populares del mundo, el BATMtwo (BATM2) de la empresa General Bytes, tiene varias vulnerabilidades de seguridad o vectores de ataque que pueden ser explotados en perjuicio del usuario.
Según un reporte de la firma de seguridad Kraken, una de las brechas de seguridad más preocupantes de estos cajeros es que se puede acceder a la configuración de los equipos mediante un código QR único.
Una vez en posesión de los permisos de administrador, se puede tomar control sobre el cajero y, por ejemplo, conectarlo a un servidor malicioso para robar bitcoin (BTC) y otras criptomonedas que puedan depositar los usuarios.
Asimismo, señalan que el dispositivo puede abrirse sin que un detector registre en la computadora local que la puerta fue abierta. Esto podría permitir, según explican en un video, que un atacante con la llave física del cajero pueda abrir la puerta e insertar un dispositivo USB que se conecte inalámbricamente a un teclado y mouse, tomando control del cajero y de su sistema operativo basado en Android.
Pero también un atacante podría instalar aplicaciones o software a su conveniencia. En el video se muestra cómo los especialistas lograron reemplazar el software del cajero con ‘DOOM’, un clásico de los juegos de video.
Además, el hardware incluye dos interruptores que permiten iniciar el ATM en el modo de programación, lo que permite modificar el sistema operativo. Esta cualidad sería resistente al reseteo de fábrica, señalan, lo que afecta la seguridad de toda la cadena de suministro.
Por ejemplo, un actor malicioso podría acceder al software y realizar cambios antes de que el cajero siquiera salga de la fábrica como nuevo.
Por otra parte, también encontraron problemas en el servidor web del software del ATM. Según detallan, en este administrador se pueden crear usuarios sin ningún tipo de credenciales. Si este usuario tiene su sesión abierta en uno de estos cajeros, podría acceder a los datos de los demás usuarios, como también a las criptomonedas depositadas.
Según CoinATMRadar, General Bytes tiene 6.383 cajeros automáticos de Bitcoin y otras criptomonedas, entre sus dos modelos disponibles, el BATMTwo (BATM2) y el BATMThree (BATM3), ambos con características similares. De momento, la compañía no ha ofrecido comentarios sobre las vulnerabilidades reportadas.
Los cajeros de criptomonedas BATM han demostrado ser una alternativa simple para que las personas compren activos digitales. Sin embargo, la seguridad de estos equipos es cuestionable, debido a las conocidas fallas de seguridad en su hardware y su software.
Kraken Security Labs.
Medidas de seguridad para usar cajeros electrónicos de Bitcoin
Kraken sugiere, en su publicación, utilizar solamente cajeros de criptomonedas ubicados en tiendas o lugares de confianza. Además, aconsejan tomar en cuenta otros factores, como que en el lugar existan cámaras de vigilancia y que sea improbable que alguien pueda acceder al cajero.
Ahora, como operador de uno de estos cajeros, recomiendan cambiar el código QR de administrador que viene establecido por defecto en la configuración de fábrica.
También, se sugiere mantener actualizado el servidor del cajero y seguir las sugerencias de seguridad de General Bytes, además de tomar las medidas necesarias en el establecimiento para proteger al cajero y sus usuarios.
CriptoNoticias reportó el pasado 22 de septiembre sobre la cantidad de cajeros de bitcoin y otras criptomonedas que, a nivel mundial, se cuadruplicó desde enero de 2020. Actualmente hay 21.158 cajeros de criptomonedas funcionando en todo el mundo, según CoinATM Radar.
