Los expertos de seguridad de Kraken alertaron sobre varias vulnerabilidades presentes en los cajeros de Bitcoin BATMtwo (GBBATM2), operados por General Bytes.
Antilavadodedinero / DiarioBitcoin
El brazo de ciberseguridad del exchange de criptomonedas Kraken, Security Labs de Kraken, ha identificado una serie de vulnerabilidades en un modelo comúnmente utilizado de cajeros automáticos (ATM) de Bitcoin.
En una publicación de blog del miércoles, el equipo de Security Labs detalló que el modelo de cajeros BATMtwo (GBBATM2), del fabricante General Bytes, presenta algunas fallas de seguridad que podrían permitir posibles ataques. El equipo ya ha notificado al fabricante.
Según el informe, la investigación halló varias vulnerabilidades, incluido un código QR administrativo predeterminado, el software operativo Android subyacente, el sistema de gestión del cajero automático y la carcasa del hardware de la máquina.
Nuestro equipo descubrió que un gran número de cajeros automáticos están configurados con el mismo código QR administrativo por defecto, lo que permite a cualquiera con este código QR acercarse a un cajero y comprometerlo. Nuestro equipo también encontró una falta de mecanismos de arranque seguro, así como vulnerabilidades críticas en el sistema de gestión de cajeros automáticos.
Vulnerabilidades en ATM de Bitcoin
Entre los descubrimientos de seguridad, el equipo halló que los equipos GBBATM2 solo tienen un único compartimiento protegido con cerradura. Vulnerar esta cerradura significa que un atacante podría potencialmente acceder a todas las partes internas del dispositivo. A esto se añade que la máquina no cuenta con ninguna alarma local para alertar en caso de que sus componentes estén expuestos.
“En este punto, un posible atacante podría comprometer la caja, el ordenador integrado, la cámara web y el lector de huellas dactilares“, reveló al respecto Kraken en el informe.
Por otro lado, la investigación también encontró que el sistema operativo Android del BATMtwo “carece de muchas funciones de seguridad habituales“. Si se conecta un teclado USB al equipo, es posible obtener acceso directo a la interfaz de usuario completa de Android. Esto permite que cualquiera pueda instalar aplicaciones, copiar archivos o realizar otras actividades maliciosas; incluyendo el envío de claves privadas al atacante.
Según la publicación, Android admite un “modo quiosco” que bloquearía la interfaz de usuario en una sola aplicación, lo que podría impedir que una persona accediera a otras áreas. Sin embargo, esa función no estaba habilitada en el modelo de cajero. El equipo publicó un video donde se pueden observar algunas de las fallas de seguridad existente en los cajeros.
El equipo de seguridad notificó al fabricante, General Bytes, el 20 de abril sobre los vectores de ataque. General Bytes ha lanzado parches para el sistema backend, pero algunas correcciones pueden requerir revisiones de hardware, indicó Kraken.
Consejos de seguridad
Mientras tanto, los expertos de seguridad del intercambio proporcionaron una serie de soluciones que pueden adoptar los usuarios de estos cajeros para evitar ser víctimas de ataques. Para aquellos que vayan a utilizar un ATM de Bitcoin, Kraken aconsejó que utilicen únicamente los que se encuentran en las tiendas de confianza, y que se aseguren de que tenga “protecciones perimetrales“, como cámaras de vigilancia.
La empresa también brindó algunos consejos a los fabricantes y propietarios de estos equipos. Kraken sugirió a los operadores de los cajeros automáticos de Bitcoin de General Bytes cambiar el código de administración QR predeterminado, colocarlo en una ubicación donde haya controles de seguridad y seguir las “mejores prácticas“.
Los cajeros automáticos de Bitcoin permiten a los usuarios comprar la moneda digital utilizando moneda fiduciaria. General Bytes es el segundo mayor fabricante de ATM de Bitcoin, representando actualmente el 22,7% del mercado mundial, según datos de Coin ATM Radar.