En 2020, el número de ataques a cajeros automáticos y terminales de punto de venta (TPV) disminuyó significativamente debido a la pandemia. Ahora, con el regreso de los antiguos hábitos de consumo, la actividad de los delincuentes vuelve a aumentar. HydraPoS y AbaddonPoS son las familias de malware más extendidas en 2022, representando aproximadamente el 71% de todas las detecciones. En el caso de los cajeros automáticos, el malware más activo es Ploutus, que representa el 3% de todas las detecciones en los primeros ocho meses de 2022, según un informe de Kaspersky.

Los ciberdelincuentes atacan los sistemas integrados utilizados en cajeros automáticos y TPV para robar dinero en efectivo, credenciales de tarjetas de crédito y datos personales, y penetran en los sistemas para hacerse con el control de todos los dispositivos de una red. Los atacantes pueden obtener mucho dinero de la noche a la mañana. Muchas de las versiones de Windows utilizadas en los cajeros automáticos finalizaron su vida útil hace tiempo y pueden ser un objetivo fácil, mientras que los TPV son utilizados por muchas empresas con un bajo nivel de madurez en materia de ciberseguridad.

Cuando llegó la pandemia, el número de ataques se redujo drásticamente en comparación con el año anterior: de aproximadamente 8.000 en 2019 a 5.000 en 2020. Esto se produjo por la reducción del número total de cajeros automáticos en todo el mundo, su cierre durante las restricciones de la pandemia, así como la reducción del gasto de la gente en general. Como consecuencia, los atacantes vieron cómo se reducía su mercado en cuanto al número de sus objetivos.

Actualmente, las restricciones se han suavizado mucho, los antiguos patrones de gasto han vuelto y, por tanto, la actividad de los ciberdelincuentes se está acelerando. En 2021, el número de dispositivos encontrados con malware para cajeros automáticos y terminales de punto de venta aumentó un 39% en comparación con el año anterior. En los primeros ocho meses de 2022, el número creció un 19% en comparación con el mismo período de 2020, y casi un 4% en comparación con 2021. En total, 4173 dispositivos fueron atacados entre enero y agosto de 2022.

Dada esta tendencia, los expertos de Kaspersky esperan que el número de ataques a los dispositivos ATM/TPV aumente aún más en el cuarto trimestre de 2022.

El malware para TPV es el más extendido

HydraPoS y AbaddonPoS representan aproximadamente el 71% de todas las detecciones de malware para cajeros y TPV en 2020-2022, con un 36% y un 35%, respectivamente. El líder de la clasificación, HydraPoS, es originario de Brasil y es conocido por clonar tarjetas de crédito. Según los informes del Portal de Inteligencia de Amenazas de Kaspersky, esta misma familia fue utilizada en ataques que involucran ingeniería social.

«Hay diferentes técnicas. Dependen de quién realice el ataque y de la familia que se utilice. Los atacantes hacen llamadas telefónicas o incluso acuden a las oficinas de las víctimas. Se hacen pasar por un empleado de un banco o de una compañía de tarjetas de crédito e intentan convencer a la víctima de que instale el malware como si fuera una actualización del sistema», comenta Fabio Assolini, jefe del Centro de Análisis de América Latina de Kaspersky.

El TOP-5 también incluye a Ploutus (3%), la familia de malware utilizada para modificar el software legítimo y la escalada de privilegios para controlar los cajeros automáticos y obtener privilegios administrativos que permitan a los delincuentes hacerse con los cajeros automáticos a la carta. RawPoS (el malware capaz de extraer la totalidad de los datos de la banda magnética de la memoria volátil) y Prilex (el malware que abusa de los procesos relacionados con el software PoS y las transacciones de las tarjetas de crédito y débito), representan el 2% de cada uno. Las otras 61 familias y modificaciones analizadas representan menos del 2% por cada una.

«El malware de los TPVs está más extendido que el de los cajeros automáticos porque permite un acceso bastante fácil al dinero. Si los cajeros automáticos suelen estar bastante bien protegidos, los propietarios de cafeterías, restaurantes y tiendas a menudo ni siquiera piensan en la ciberseguridad de sus terminales de pago. Esto los convierte en un objetivo para los atacantes. Además, surgen nuevos modelos de negocio delictivos, como el malware de servicio, que reducen el nivel de conocimientos de los posibles actores de las amenazas», explica Fabio Assolini.