Kraken revela que muchos cajeros automáticos de Bitcoin de Estados Unidos siguen utilizando los códigos QR de administración por defecto

Kraken ha instado a los propietarios y operadores de cajeros automáticos de BATMTwo a cambiar el código QR de administración de sus cajeros para evitar posibles ataques.

Kraken Security Labs ha afirmado que un “gran número” de cajeros automáticos de Bitcoin son vulnerables a hackeos, ya que los administradores nunca cambiaron el código QR de administración por defecto.

En una entrada del blog del 29 de septiembre, Kraken publicó una investigación de su equipo de Security Labs que encontró que hay “múltiples vulnerabilidades de hardware y software” en la gama de cajeros automáticos BATMTwo de General Bytes.

“Se encontraron múltiples vectores de ataque a través del código QR administrativo por defecto, el software operativo Android, el sistema de gestión del cajero automático e incluso la carcasa de hardware de la máquina”, decía el post.

El equipo de seguridad de Kraken afirmó que si un hacker consigue el código administrativo, puede esencialmente “acercarse a un cajero automático y comprometerlo”, al tiempo que destacó los problemas con la falta de mecanismos de arranque seguro del BATMtwo, así como las “vulnerabilidades críticas” en el sistema de gestión del cajero. Sin embargo, General Bytes ya ha alertado a los propietarios de cajeros automáticos sobre las vulnerabilidades:

“Kraken Security Labs informó de las vulnerabilidades a General Bytes el 20 de abril de 2021, publicaron parches para su sistema de backend (CAS) y alertaron a sus clientes, pero las correcciones completas para algunos de los problemas aún pueden requerir revisiones de hardware.”

El equipo también descubrió que era capaz de obtener acceso completo al sistema operativo Android detrás del cajero BATMTwo simplemente conectando un teclado USB a la máquina, y advirtió que “cualquiera” podría “instalar aplicaciones, copiar archivos o realizar otras actividades maliciosas”.

General Bytes tiene su sede en la República Checa y, según Coin ATM Radar, actualmente hay 6,391 cajeros de General Bytes instalados en todo el mundo, lo que representa el 22.7% del mercado global. Sin embargo, esas cifras también tienen en cuenta los cajeros BATMThree de los que no informó Kraken.

La mayoría de los cajeros BATM se encuentran en Estados Unidos y Canadá, con una cifra combinada de unos 5,300, mientras que en Europa hay unos 824 cajeros instalados.

Kraken les pide a los propietarios y operadores de BATMTwo que cambien el código de administración QR por defecto, actualicen el servidor CAS y coloquen los cajeros en lugares visibles para las cámaras de seguridad.

Estafas en cajeros automáticos de Bitcoin

Aunque los informes de cajeros automáticos de Bitcoin hackeados parecen ser mínimos, hay una historia de individuos astutos que han realizado estafas referentes a los cajeros automáticos de criptomonedas.

En marzo de 2019, la Policía de Toronto emitió un comunicado público en el que pedía a la comunidad que localizara a cuatro hombres sospechosos de llevar a cabo una serie de transacciones de “doble gasto” que obtuvieron fondos por un valor de 150,000 dólares en una ventana de 10 días. El doble gasto consiste en cancelar las transacciones antes de que el cajero automático haya tenido la oportunidad de confirmarlas, pero quedándose con el dinero dispensado.

El Oakland Press informó el El 22 de junio de este año que dos mujeres de Berkley fueron estafadas por un total de 15,000 dólares después de que los estafadores se hicieran pasar por agentes de seguridad pública y empleados federales. Al parecer, los estafadores les dijeron a las víctimas que tenían órdenes de detención pendientes e infracciones fiscales, y les ordenaron que pagaran las multas a través de los cajeros automáticos locales de Bitcoin de la zona.

Además, Malwarebytes publicó una investigación en agosto que descubrió una tendencia de estafas en cajeros automáticos de Bitcoin de gasolineras en las que los actores de la amenaza publicaban listas de trabajos falsos para engañar a los solicitantes para que lavaran dinero.

Sigue leyendo:

Ir a la Fuente
Author: Brian Quarmby

Envía un comentario