SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL...
-
Upload
hoangquynh -
Category
Documents
-
view
229 -
download
0
Transcript of SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL...
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN LA
CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO DE TEST DE INTRUSIÓN.”
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR (ES):
MONTENEGRO AVATA KARINA STEFANY
TUTOR:
ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.
GUAYAQUIL – ECUADOR
2018
II
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO:
SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN
LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS
UBICADAS EN LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING
COMO MECANISMO DE TEST DE INTRUSIÓN.
AUTOR(ES)
(apellidos/nombres ):
Montenegro Avata Karina Stefany
REVISOR(ES)/TUTOR(ES)
( apellidos/nombres ):
Ing. Francisco Álvarez Solís M.Sc.
INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL
UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
MAESTRÍA/ESPECIALIDAD: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
GRADO OBTENIDO:
FECHA DE PUBLICACIÓN: No. DE PÁGINAS:
ÁREAS TEMÁTICAS: Networking Telecomunicaciones
PALABRAS CLAVES
/KEYWORDS:
Test de intrusión, Jackpotting, Seguridad Informática.
ADJUNTO PDF:
SI NO
CONTACTO CON AUTOR/ES: Teléfono: E-mail:
CONTACTO CON LA
INSTITUCIÓN:
Nombre:
Teléfono:
E-mail:
III
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación SIMULACIÓN Y ANÁLISIS DE
VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS
INSTITUCIONES FINANCIERAS UBICADAS EN LA CIUDAD DE GUAYAQUIL
UTILIZANDO JACKPOTTING COMO MECANISMO DE TEST DE INTRUSIÓN.
Elaborado por MONTENEGRO AVATA KARINA STEFANY, Alumna no titulada de la
Carrera de Ingeniería en Networking y Telecomunicaciones de la Facultad de
Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la
obtención del Título de Ingeniero en Networking y Telecomunicaciones, me
permito declarar que luego de haber orientado, estudiado y revisado, la apruebo
en todas sus partes.
Atentamente
ING. FRANCISCO XAVIERÁLVAREZ SOLÍS M.Sc.
TUTOR
IV
DEDICATORIA
Dedico este trabajo de tesis a Dios, mi
madre, esposo, hija, hermanos y comadre
María por haberme brindado su apoyo en mi
carrera universitaria.
V
AGRADECIMIENTO
Agradezco a Dios, mi tutor
y revisor por el apoyo, ayuda que
me brindaron para el desarrollo de
este trabajo de tesis.
Agradezco a mi madre y
esposo por la confianza que
brindaron para poder culminar
este objetivo y obtener mi título
universitario.
VI
TRIBUNAL PROYECTO DE TITULACIÓN
_______________________________
Ing. Eduardo Santos Baquerizo, M.Sc.
DECANO DE LA FACULTAD
CIENCIAS MATEMÁTICAS Y FÍSICAS
_________________________________
Ing. Harry Luna Aveiga, M.Sc.
DIRECTOR CINT
_____________________________
Ing. Francisco Álvarez Solís M.Sc.
PROFESOR DIRECTOR DEL PROYECTO DE
TITULACIÓN
______________________________
Ing. Silvia Medina Anchundia M.Sc.
PROFESOR TUTOR REVISOR
DEL PROYECTO DE TITULACIÓN
______________________________
Ab. Juan Chávez A.
SECRETARIO
VII
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este Proyecto de Titulación, me
corresponden exclusivamente; y el patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”
MONTENEGRO AVATA KARINA STEFANY
VIII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS
CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN LA
CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO DE
TEST DE INTRUSIÓN.”
Proyecto de Titulación que se presenta como requisito para optar por el título de
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR: MONTENEGRO AVATA KARINA STEFANY
C.I. 0927020024
TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.
Guayaquil, Marzo del 2018.
IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por la
estudiante MONTENEGRO AVATA KARINA STEFANY, como requisito previo para
optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo tema
es:
“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO
DE TEST DE INTRUSIÓN.”
Considero aprobado el trabajo en su totalidad.
Presentado por:
MONTENEGRO AVATA KARINA STEFANY CÉDULA DE CIUDADANÍA N°
0927020024
TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.
Guayaquil, Marzo del 2018.
X
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación en Formato Digital
1. Identificación del Proyecto de Titulación
Nombre del Alumno: Montenegro Avata Karina Stefany
Dirección: Urb. Ciudad Santiago Mz.5757 Villa 12
Teléfono: 0960012720 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Título al que opta: Ingeniero en Networking y Telecomunicaciones
Profesor guía: Ing. Francisco Álvarez Solís M.Sc.
Título del Proyecto de Titulación: SIMULACIÓN Y ANÁLISIS DE
VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS
INSTITUCIONES FINANCIERAS UBICADAS EN LA CIUDAD DE GUAYAQUIL
UTILIZANDO JACKPOTTING COMO MECANISMO DE TEST DE INTRUSIÓN.
XI
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a
la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de
este Proyecto de titulación.
Publicación electrónica:
Firma Alumno: Montenegro Avata Karina Stefany
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como
archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen pueden ser:
.gif, .jpg o .TIFF.
Tema del Proyecto de Titulación: SIMULACIÓN Y ANÁLISIS DE
VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS
INSTITUCIONES FINANCIERAS UBICADAS EN LA CIUDAD DE GUAYAQUIL
UTILIZANDO JACKPOTTING COMO MECANISMO DE TEST DE INTRUSIÓN.
Inmediata X Después de 1 año
DVDROM CDROM
XII
INDICE GENERAL
Contenido
CARTA DE APROBACIÓN DEL TUTOR ..................................................................... III
DEDICATORIA ......................................................................................................... IV
AGRADECIMIENTO .................................................................................................. V
INDICE DE TABLAS ................................................................................................ XIV
INDICE DE GRÁFICOS ............................................................................................. XV
ABREVIATURAS ..................................................................................................... XVI
INTRODUCCIÓN ....................................................................................................... 1
CAPITULO I............................................................................................................... 3
EL PROBLEMA ...................................................................................................... 3
PLANTEAMIENTO DEL PROBLEMA .................................................................. 3
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS ...................................................... 4
CAUSAS Y CONSECUENCIAS DEL PROBLEMA .................................................. 5
ALCANCES DEL PROBLEMA .............................................................................. 7
OBJETIVOS DE LA INVESTIGACIÓN .................................................................. 7
OBJETIVO GENERAL ......................................................................................... 7
OBJETIVOS ESPECÍFICOS .................................................................................. 8
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................................. 8
CAPITULO II.............................................................................................................. 9
MARCO TEÓRICO ................................................................................................. 9
ANTECEDENTES DE ESTUDIO ........................................................................... 9
FUNTAMENTACIÓN TEÓRICA ........................................................................ 11
FUNDAMENTACIÓN SOCIAL .......................................................................... 19
FUNDAMENTACIÓN LEGAL ............................................................................ 20
HIPÓTESIS ...................................................................................................... 24
VARIABLES DE INVESTIGACIÓN ..................................................................... 24
DEFINICIONES CONCEPTUALES ..................................................................... 24
CAPITULO III .......................................................................................................... 26
XIII
METODOLOGÍA DE LA INVESTIGACIÓN ............................................................. 26
DISEÑO DE LA INVESTIGACIÓN ...................................................................... 26
MODALIDAD DE LA INVESTIGACIÓN ............................................................. 26
TIPO DE INVESTIGACIÓN ............................................................................... 26
POBLACIÓN Y MUESTRA ................................................................................ 27
INSTRUMENTOS DE RECOLECCIÓN DE DATOS .............................................. 29
VALIDACIÓN DE LA HIPÓTESIS ....................................................................... 41
CAPITULO IV .......................................................................................................... 42
PROPUESTA TECNOLÓGICA ............................................................................... 42
ANÁLISIS DE FACTIBILIDAD ............................................................................ 42
FACTIBILIDAD OPERACIONAL ........................................................................ 43
FACTIBILIDAD TÉCNICA .................................................................................. 44
FACTIBILIDAD ECONÓMICA ........................................................................... 44
FACTIBILIDAD LEGAL ...................................................................................... 45
ETAPAS DE METODOLOGÍA DEL PROYECTO .................................................. 46
ENTREGABLES DEL PROYECTO ....................................................................... 47
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA ............................................. 47
CRITERIOS DE ACEPTACION DEL PRODUCTO ................................................ 48
CONCLUSIONES.............................................................................................. 50
RECOMENDACIONES ..................................................................................... 51
BIBLIOGRAFÍA ................................................................................................ 52
ANEXOS .......................................................................................................... 53
XIV
INDICE DE TABLAS
Tabla No. 1Causas y Consecuencias ........................................................................ 5
Tabla No. 2 Variables de la investigación .............................................................. 24
Tabla No. 3Cuadro distributivo de la población .................................................... 27
Tabla No. 4Cuadro distributivo de la muestra ...................................................... 28
Tabla No. 5 Resultados de la pregunta 1 .............................................................. 31
Tabla No. 6 Resultados de la pregunta 2 .............................................................. 32
Tabla No. 7 Resultados de la pregunta 3 .............................................................. 33
Tabla No. 8 Resultados de la pregunta 4 .............................................................. 34
Tabla No. 9 Resultados de la pregunta 5 .............................................................. 35
Tabla No. 10 Resultados de la pregunta 6 ............................................................ 36
Tabla No. 11 Resultados de la pregunta 7 ............................................................ 37
Tabla No. 12 Resultados de la pregunta 8 ............................................................ 38
Tabla No. 13 Resultados de la pregunta 9 ............................................................ 39
Tabla No. 14 Resultados de la pregunta 10 .......................................................... 40
Tabla No. 15 Costos del Proyecto ......................................................................... 45
Tabla No. 16Criterios de aceptación del producto ............................................... 48
XV
INDICE DE GRÁFICOS
Gráfico No. 1 Cajeros automáticos ....................................................................... 12
Gráfico No. 2 Cajeros automáticos con sistema operativo Windows XP ............. 13
Gráfico No. 3 Tipos de transacciones en los cajeros automáticos ........................ 14
Gráfico No. 4 Partes de un cajero automático ...................................................... 15
Gráfico No. 5 Ataque Jackpotting ......................................................................... 16
Gráfico No. 6 Estructura de los cajeros automáticos ............................................ 18
Gráfico No. 7 Porcentaje de la pregunta 1 ............................................................ 31
Gráfico No. 8 Porcentaje de la pregunta 2 ............................................................ 32
Gráfico No. 9 Porcentaje de la pregunta 3 ............................................................ 33
Gráfico No. 10 Porcentaje de la pregunta 4 .......................................................... 34
Gráfico No. 11 Porcentaje de la pregunta 5 .......................................................... 35
Gráfico No. 12 Porcentaje de la pregunta 6 .......................................................... 36
Gráfico No. 13 Porcentaje de la pregunta 7 ......................................................... 37
Gráfico No. 14 Porcentaje de la pregunta 8 .......................................................... 38
Gráfico No. 15 Porcentaje de la pregunta 9 .......................................................... 39
Gráfico No. 16 Porcentaje de la pregunta 10 ........................................................ 40
Gráfico No. 17 Inicio del Metasploit ..................................................................... 53
Gráfico No. 18 Verificación del servicio de base de datos .................................... 53
Gráfico No. 19 Inicio de Armitage ......................................................................... 54
Gráfico No. 20 Conexión de Armitage con la dirección IP de localhost ................ 54
Gráfico No. 21 Carga de los módulos de Armitage ............................................... 55
Gráfico No. 22 Carga de los módulos de Armitage ............................................... 55
Gráfico No. 23 Activación del Metasploit ............................................................. 56
Gráfico No. 24 Verificación de la conexión de Armitage ...................................... 56
Gráfico No. 25 Estado de conexión ....................................................................... 57
Gráfico No. 26 Escaneo de Puertos con Armitage ................................................ 57
Gráfico No. 27 Asignación de la dirección de red para el escaneo de cajeros
automáticos........................................................................................................... 58
Gráfico No. 28 Cajeros automáticos ..................................................................... 58
Gráfico No. 29 Escaneo de ataques ...................................................................... 59
Gráfico No. 30 Carga de los exploit para el cajero automático ............................ 59
Gráfico No. 31 Activación del exploit ................................................................... 60
Gráfico No. 32 Activación del exploit por medio del navegador .......................... 60
Gráfico No. 33 Cajero automático infectado ........................................................ 61
Gráfico No. 34 Diseño del Ataque Jackpotting ..................................................... 62
Gráfico No. 35 Inicio de las variables .................................................................... 63
Gráfico No. 36 Programación de las funciones del cajero .................................... 63
Gráfico No. 37 Programación de las fases del cajero............................................ 64
Gráfico No. 38 Programación de las siguientes fases ........................................... 64
XVI
Gráfico No. 39 Programación de la fase cuatro y cinco ........................................ 65
Gráfico No. 40 Programación de la fase seis y de eventos ................................... 65
Gráfico No. 41 Programación de los eventos de los botones ............................... 66
XVI
ABREVIATURAS
UG Universidad de Guayaquil
SI Seguridad Informática
ISO Organización de estándares internacionales
CC.MM.FF Facultad de Ciencias Matemáticas y Físicas
ARCOTEL Agencia de Regulación y Control de las Telecomunicaciones
MINTEL Ministerio de Telecomunicaciones
DR DragonJar
XVII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS
CAJEROS AUTOMATICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN
LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO
DE TEST DE INTRUSIÓN.”
Autores: Montenegro Avata Karina Stefany
Tutor: Ing. Francisco Álvarez Solís M.Sc.
Resumen
En la actualidad, la tecnología ha ido avanzando y a su vez la inseguridad se
apodera de la misma, es por eso que el factor humano es fundamental ya que si
existe el conocimiento de cómo actuar ante un ataque o como tomar las
medidas de seguridad para mitigar el mismo, los riesgos serían mínimos. El
objetivo principal de este proyecto simular y analizar las vulnerabilidades de los
cajeros automáticos para el ataque Jackpotting utilizando herramienta Armitage.
La metodología a utilizar es de forma cuantitativa, incluyendo encuestas para así
obtener datos estadísticos de cuanta información tienen los usuarios acerca de
las vulnerabilidades que presentan las maquinas transaccionales.
Palabras Claves: Jackpotting, Armitage, cajeros automáticos, Vulnerabilidades,
transaccionales.
XVIII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
"SIMULATION AND ANALYSIS OF VULNERABILITIES OF THE SOFTWARE IN THE AUTOMATIC CASHIEROS OF THE FINANCIAL INSTITUTIONS LOCATED IN THE
CITY OF GUAYAQUIL USING JACKPOTTING AS AN INTRUSION TESTING MECHANISM."
Autores: Montenegro Avata Karina Stefany
Tutor: Ing. Francisco Álvarez Solís M.Sc.
Abstract
Currently, technology has been advancing and in turn insecurity is taking over,
which is why the human factor is essential because if there is knowledge of how
to act in an attack or how to take security measures to mitigate the same, the
risks would be minimal. The main objective of this project is to simulate and
analyze the vulnerabilities of ATMs the Jackpotting attack using the Armitage
tool. The methodology to be used is quantitative, including surveys to obtain
statistical data on how much information users have about the vulnerabilities
presented by transactional machines.
Key Words: Jackpotting, Armitage, ATMs, Vulnerabilities, transactional.
1
INTRODUCCIÓN
Los cajeros automáticos se implementaron en el año 1967 con la finalidad de
lograr que los clientes de los banco no realicen sus retiros de dineros
directamente en las ventanillas de las instituciones financieras sino que lo
efectúen mediante el cajero automático. Actualmente millones de personas en el
mundo utilizan a diario los cajeros automáticos para realizar retiros de dinero a
través de tarjetas bancarias para ellos es transparente el hardware y software en
el que transaccionan.
Debido a esto se confirma un creciente robo de cajeros automáticos mediante
métodos no destructivo, ocasionando que el mismo lance dinero en efectivo por
medio de sus ranuras logrando que los atacantes maliciosos se beneficien
explotando las vulnerabilidades de Jackpotting presentes en estos hardware.
Uno de los métodos que son utilizados por los ciberdelincuentes es
desconectando el cable de datos de la red de la institución bancaria para luego
después conectarlo en dispositivo que actúan como un centro falso de
procesamiento de información.
Este dispositivo se utiliza para controlar el retiro de dinero en efectivo realizado
por un cliente con la finalidad de que el atacante envíe comandos al cajero
logrando que el atacante utilice cualquier tipo de tarjeta e ingrese cualquier
código PIN, para luego efectuar el retiro de dinero.
La información en cualquier institución es uno de los elementos de gran
importancia a proteger, resguardar y recuperar ya que se lo denomina un bien
intangible de incalculable valor dentro del mundo de los negocios; por lo tanto la
seguridad de la información permitirá prevenir ataques de personas ajenas a las
instituciones financieras, quienes intentan apoderarse de información vital.
Estas personas son llamadas crackers o ciberdelincuentes. Esta situación se
presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la
2
mayoría de las instituciones, debido al poco interés y baja inversión en
plataformas de seguridad informática que ayuden a incrementar la robustez y el
rendimiento de los sistemas y de la red en general evitando así la perdida de
datos sensibles.
El resultado de la violación de los sistemas informáticos y de la red en general
por parte de los ciberdelincuentes ha provocado pérdidas económicas por
manipulación de la información, afectando el prestigio de ciertas instituciones
financieras a nivel mundial. El análisis de vulnerabilidades en los sistemas de los
cajeros automáticos permitirá descubrir las falencias que poseen, basadas en las
normas PCI puedan mitigar los riesgos ante posibles ataques a sus sistemas de
cajeros automáticos.
A continuación se presentará lo que se desarrollará en cada capítulo del proyecto
de titulación.
Capítulo I: En este capítulo se definirá el planteamiento del problema referente a
los sistemas de cajeros automáticos, las causas y consecuencias del problema, los
objetivos de la investigación y la justificación e importancia del proyecto.
Capítulo II: En este capítulo justificará la investigación del tema propuesto a
través del marco teórico, en donde se detallaran los fundamentos teóricos,
sociales y legales.
Capítulo III: En este capítulo se utilizara la investigación de campo con la
finalidad de recopilar información referente a las vulnerabilidades en los
sistemas de cajeros automáticos por medio de encuestas, entrevistas y la
observación.
Capítulo IV: En este último capítulo se detallaran todos los resultados prácticos
de la investigación mediante un ambiente de prueba y con sus respectivas
conclusiones y recomendaciones.
3
CAPITULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del Problema en un Contexto
Luther George Simjian armenio nacido en Turquía emigró a los Estados Unidos,
con la finalidad aprender sobre el funcionamiento de los objetos tecnológicos en
la cual paso su vida universitaria desarrollando proyectos científicos enfocados
en el campo de la informática, por la cual fue el primer inventor de un cajero
automático. En el año 1939 el inventor registró 20 patentes de un prototipo de
cajero automático. Para entonces vivía en Nueva York, por lo que convenció al
CITICORP para que probaran su invento.[1]
Actualmente los ciberdelincuentes han cambiado la manera de como atacar
remotamente los cajeros automáticos de instituciones financieras, por medio de
la utilización de softwares maliciosos cuyo objetivo es obligar a las maquinas
transaccionales que fallen ocasionando pérdidas económicas que afectan a las
instituciones financieras. Estos números de ataques cibernéticos surgen por las
posibles vulnerabilidades del software, lo cual es un riesgo ante los diversos
ataques que sufren las instituciones financieras. Por lo tanto es importante dar a
conocer los posibles vulnerabilidades, que se pueden presentar en el software de
los sistemas de cajeros automáticos cuando estos son sometidos a mecanismos
de test de intrusión.[2]
Los cajeros automáticos siempre han estado en la mira de los piratas
informáticos. Antes, para atacar un cajero automático se necesitaban
herramientas físicas.
Con el auge de la tecnología, el ataque a los cajeros automáticos evoluciono. Hoy
en día los ciberdelincuentes pueden realizar ataques lógicos que afectan al
4
software como es el caso de ataques por medio de Jackpotting1 sin necesidad de
ocasionar daños físicos alguno en los cajeros automáticos.[3]
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS
Antes esta problemática es importante que las instituciones financieras en
general tomen en consideración los riesgos informáticos que pueden producirse
cuando se tiene desactualizado y sin las necesidades necesarias el software de
los cajeros automáticos razón por lo cual se encuentran expuestos ante ataques
cibernéticos realizados por crackers, hackers, etc., en donde ellos pueden
ocasionar fallos en los sistemas de los cajeros automáticos afectado
económicamente a tales instituciones.
Los fabricantes de los cajeros automáticos creen que los mismos operan en
“condiciones normales” en la cual no poseen errores de funcionamiento. Por lo
tanto, no suele existir un control en la integridad del software, ni soluciones de
antivirus, ni autenticación de la aplicación que envía comandos al dispensador de
efectivo.[2]
La concientización y el desempeño de las actividades y responsabilidades de las
instituciones financieras para disminuir los niveles de fugas de información crítica
son de vital importancia para neutralizar la viabilidad de un atacante malicioso
que intenta obtener el acceso al sistema de los cajeros automáticos, por estos
inconvenientes se propone una solución mediante un ambiente de prueba para
dar a conocer las vulnerabilidades de los cajeros automáticos y los riesgos que se
pueden producir al momento de estar sujetos a un ataque por algún mecanismo
de test de intrusión.
1Jackpotting: Virus informáticos que infecta los sistemas de los cajeros
automáticos.
5
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Tabla No. 1Causas y Consecuencias
Posibles vulnerabilidades del hardware Riesgos permanentes ante posibles
fallos y/o ataques tecnológicos.
Posibles vulnerabilidades del software. Pérdidas económicas e interrupción en
los servicios.
Nuevas amenazas tecnológicas. Actualización e inversión en
mecanismos de seguridad, robustez y
capacitación.
Fuente: Trabajo de Investigación Autores: Karina Montenegro
Delimitación del Problema
• Campo: Hacking Ético.
• Área: Seguridad Informática.
• Aspecto: Aplicaciones de cajeros automáticos.
• Tema: SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN
LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS
EN LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO
MECANISMO DE TEST DE INTRUSIÓN.
Formulación del Problema
¿Cuál es la importancia del análisis de vulnerabilidades en el software de los
cajeros automáticos de las instituciones financieras, de hallar los fallos de
seguridad y amenazas presentes en el mismo?
6
Evaluación del Problema
Los aspectos generales de evaluación son los siguientes:
Los aspectos generales de evaluación son los siguientes:
Delimitado: Se emulara el software que utilizan los cajeros automáticos para
analizar sus posibles vulnerabilidades, esta información servirá para dar a
conocer a las instituciones financieras las causas y efectos así como las
recomendaciones necesarias para solventar y mitigar las amenazas.
Claro: Ciertas instituciones financieras no cuentan con un sistema actualizado en
sus cajeros automáticos por la cual estos están sometidos a intrusiones
maliciosas por ciberdelincuentes.
Evidente: Las instituciones financieras tienden a estar actualizados con los
sistemas en los cajeros automáticos pero pese a esto no se encuentran
preparadas para prevenir incidentes de seguridad en los mismos.
Original: El análisis de vulnerabilidades en los sistemas de cajeros automáticos
propuestos demuestra la originalidad ya que las instituciones financieras no
poseen conocimientos sobre los riesgos y amenazas presentes en los cajeros
automáticos.
Factible: El proyecto de titulación a desarrollar referente al análisis de los cajeros
automáticos demuestra la viabilidad en base a los lineamientos propuestos por
las instituciones bancarias por la cual estas no poseen planes de acción que
mantengan los cajeros automáticos protegidos.
Identifica los productos esperados: Los resultados que se generaran durante
análisis de vulnerabilidades en los sistemas de cajeros automáticos por medio de
un ambiente simulado ayudaran a las instituciones financieras a enfocar en las
7
normas PCI para disminuir los niveles de riesgos y amenazas presentes en los
cajeros automáticos.
ALCANCES DEL PROBLEMA
Los alcances del proyecto de titulación a desarrollar son:
• Desarrollo de un ambiente de prueba simulando un cajero automático en
una aplicación de JAVA.
• Utilizar de la herramienta Metasploit2 para verificar los riesgos presentes
en las aplicaciones de cajeros automáticos.
• Análisis de los resultados donde se identifiquen las vulnerabilidades en la
aplicación de cajeros automáticos desarrollados en un ambiente de
simulación por medio de la técnica JACKPOTTING utilizando la
herramienta Armitage como mecanismo de test de intrusión.
• Dictaminar recomendaciones utilizando normas de seguridad de la
información para evitar intrusiones maliciosas en los cajeros automáticos.
OBJETIVOS DE LA INVESTIGACIÓN
OBJETIVO GENERAL
Analizar las vulnerabilidades al realizar un simulador del software de los cajeros
automáticos de las instituciones financieras, para evitar los accesos no
autorizados a través de los mecanismos de test intrusión Jackpotting utilizando la
herramienta Armitage.
2Metasploit: Framework utilizado para realizar test de intrusión en redes y
sistemas operativos.
8
OBJETIVOS ESPECÍFICOS
1. Realizar un levantamiento de información de la arquitectura de los
cajeros automáticos de los bancos identificando su funcionamiento.
2. Simular y analizar las vulnerabilidades del software en los cajeros
automáticos utilizando como mecanismos de test de intrusión, simulando
el ataque Jackpotting con la herramienta Armitage.
3. Analizar las vulnerabilidades de la simulación de los cajeros automáticos
utilizando la herramienta Armitage en un ambiente de prueba.
4. Realizar informes detallando los resultados generados por medio del
análisis y simulación de vulnerabilidades en los cajeros automáticos por
medio de Jackpotting como mecanismos de test de intrusión.
5. Recomendar planes de acción basados en las normas de seguridad de la
información que ayude a mitigar las amenazas ante ataques al software
de los cajeros automáticos a través de Jackpotting como mecanismo de
test de intrusión.
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
Con la simulación y análisis de vulnerabilidades del software en los cajeros
automáticos a través de Jackpotting como mecanismo test de intrusión, se dará a
conocer a las instituciones financieras las posibles debilidades que poseen las
maquinas transaccionales ubicadas en cada punto de la ciudad de Guayaquil.
La seguridad informática consiste en garantizar que los sistemas de cajeros
automáticos estén protegidos mediante procesos de actualizaciones en el
software, implementación de nuevos hardware que posean la robustez para
evitar ataques informáticos con la finalidad de disminuir las pérdidas económicas
y la capacitación del personal de en las instituciones financieras.
9
CAPITULO II
MARCO TEÓRICO
ANTECEDENTES DE ESTUDIO
Según las agencias de la Interpol, Europol y las autoridades de seguridad en
diferentes países, además la intervención de la empresa Kaspersky detalla que
en el año 2013 un grupo de ciberdelincuentes llamado Carbanak que está
conformado por piratas informáticos de origen ruso, ucraniano y chino
produjeron ataques que fueron dirigidos a más de 100 bancos donde el objetivo
principal era el acceso ilícito al sistema de pagos electrónicos y otras
instituciones bancarias ubicadas en más de 30 países. Las intrusiones maliciosas
se habían llevado a cabo en los sistemas de cajeros automáticos donde los
crackers extrajeron una suma de $1000 millones. [4]
Según la firma de seguridad Kaspersky, los crímenes digitales se produjeron en
varios movimientos con una duración de 2 a 4 meses respectivamente, es el
tiempo que se tomaron los atacantes maliciosos en infectar un ordenador de una
red bancaria hasta obtener acceso a los fondos del cajero automático logrando la
sustracción de $10 millones durante la realización de algunas intrusiones
malintencionadas.[2]
Según la firma The New York Time indica que la banda Carbanak utilizaba el tipo
de ataque Botnet para la búsqueda de vulnerabilidades en sistemas informáticos
de instituciones bancarias y luego explotarlas produciendo perdidas de los
activos en las entidades financieras.[3]
10
Japón país asiático se llevó a cabo uno de los robos más grandes de la historia de
la seguridad informática. Según Eduardo Marín especialista en ciberseguridad
menciona que un grupo de piratas informáticos lograron sustraer una cantidad
equivalente a 12,7 millones de dólares retirando dinero en más de 1400 cajeros
automáticos ubicados en todo el país.[4]
Los sistemas operativos desactualizados o un complejo acceso al depósito o
dispensador de billetes a personas que realizan transacciones bancarias pero de
forma sencilla es el acceso desde un ordenador son alguna de las
vulnerabilidades que presentan los cajeros automáticos en la cual los
ciberdelincuentes utilizan sus conocimientos informáticos con el fin de que el
equipo transaccional pueda expulsar dinero en efectivo por medio de sus ranuras
una vez que se encuentre infectado por una botnet. Así lo afirma Olga Kotechova
especialista en pruebas de test de penetración de la firma de seguridad
KasperskyLab durante el congreso de Security Analyst Summit 2016, donde ella
demostró que los sistemas implementados en los cajeros automáticos poseen
fallos de seguridad cuando son explotados por medio de ataques Jackpotting
produciendo el riesgos que estos hardware dispensen billetes de forma
descontrolada.[5]
La empresa de antivirus KasperskyLab ha recopilado cinco puntos críticos que
demuestran la facilidad en que atacantes maliciosos puedan explotar las
falencias de seguridad presentes en los cajeros automáticos:
1. Un cajero automático está compuesto por subsistemas electrónicos en la
cual integran controladores industriales. Sin embargo, tras los terminales
existe un ordenador que controla el sistema del equipo que en algunos de
los casos el software esta desactualizado.
2. Alguno de los cajeros automáticos funcionan con sistema operativo
Windows XP, hoy en la actualidad el soporte para estos sistemas por
11
parte del fabricante esta descontinuado, exponiendo cualquier
vulnerabilidad presente a los piratas informáticos.
3. Los fabricantes de los terminales de cajeros automáticos no toman en
consideración amenazas informáticas a las que estarían estos equipos.
4. Los sistemas de cajeros automáticos cuentan con un software vulnerable
con más de 9000 bugs conocidas.
5. Los módulos de los cajeros automáticos suelen estar conectados con
interfaces estándar a través de puertos USB, COM (Puerto Serial)
FUNTAMENTACIÓN TEÓRICA
Cajeros automáticos
Un cajero automático es un ordenador que cumple la funcionalidad de expender
dinero al usuario que posee una cuenta bancaria por medio de una tarjeta
emitida por la entidad financiera y solicitada por el cliente. Los cajeros
automáticos integran impresoras matriciales o impresoras térmicas para la
impresión de recibos en base a la operación transaccional que efectúan los
clientes de instituciones financieras, además estos conjuntos de computadores
son conectados a múltiples base de datos por medio de la red para
proporcionarle a los usuarios corporativos y residenciales la facilidad de realizar
retiro de dinero en cualquier cajero automático sin la necesidad de tener una
cuenta en un banco especifico.[6]
Los cajeros automáticos cumplen con las siguientes operaciones que se
mencionan a continuación:
• Extracción de dinero efectivo mediante una tarjeta de débito o crédito.
• Solicitud de cambio de contraseña que el cajero le sugiere al cliente.
• Depósitos de dinero en efectivo a diferentes cuentas bancarias.
• Pagos de servicios básicos.
12
• Recargas de teléfonos celulares de todas las operadoras.
Tipos de cajeros automáticos
Los cajeros automáticos se clasifican de la siguiente manera:
• Cajeros automáticos full: Son aquellos que permiten extraer dinero en
efectivo y realizar depósitos a diferentes cuentas bancarias sin la
necesidad de que las personas hagan cola en una institución financiera.
• Cajeros automáticos cash: Los cajeros automáticos cash son aquellos que
no permiten la realización de depósitos pero se los denomina cajeros
extra bancarios en la cual van acompañados por un full. Estos cajeros
suelen estar en supermercados, estaciones de servicio, etc.
Gráfico No. 1 Cajeros automáticos
Fuente: http://www.missionatm.com/cajero-automatico-en-mexico/
Autor: ATM
13
Cajeros automáticos con sistemas operativos Windows XP
Según un comunicado por Joaquín Alviz detalla que el 8 de abril del año 2013 la
empresa tecnológica Microsoft deja de proporcionar soporte para Windows XP
obligando a las instituciones bancarias a implementar nuevos cajeros
automáticos con el objetivo de proteger la información del usuario y de los
bancos, logrando mitigar las vulnerabilidades expuestas en el sistema Windows
XP.[7]
La compañía Microsoft llevaba un periodo de 10 años brindando soporte a las
empresas bancarias alcanzando obtener una disponibilidad en el sistema
informático implementado en los cajeros para que los clientes de los bancos
puedan seguir efectuando transacciones en red.[9]
Gráfico No. 2 Cajeros automáticos con sistema operativo Windows XP
Fuente: https://clipset.20minutos.es/microsoft-entierra-windows-xp-y-los-
cajeros-automaticos-temen-por-su-seguridad/ Autor: Joaquín Alviz
Tipos de transacciones realizadas en los cajeros automáticos Los tipos de transacciones disponibles en los cajeros automáticos son las
siguientes:
14
• Transacciones por cuenta corriente
• Transacciones por cuenta de ahorro.
• Depósitos de dinero en efectivo.
• Depósitos en cheque.
Gráfico No. 3 Tipos de transacciones en los cajeros automáticos
Fuente: https://www.bancocajasocial.com/como-hacer-transacciones-en-
cajeros-multifuncional-amigo Autor: Banco Caja Social
Partes de un cajero automático
A continuación, se definirá las siguientes partes de un cajero automático:
• Lector de tarjetas: Los lectores de tarjetas implementados en los cajeros
automáticos cumplen la función de capturar el tipo de tarjeta sea de
débito o de crédito para después proceder a leer la información del
15
cliente almacenado en el chip o en la banda magnética que se encuentra
ubicada en la parte trasera de la tarjeta.
• Ranura de recibo: Esta ranura cumple con la función de expender el
recibo al cliente con los datos de la transferencia después de realizar la
transacción en el cajero automático.
• Ojo electrónico: Este ojo electrónico cumple con la funcionalidad de
contar el dinero que solicita el usuario antes de ser entregado al mismo y
otro sensor integrado en los cajeros automáticos evalúa el grosor del
papel del billete identificando los daños en él para después retenerlos.
• Teclado: Con este dispositivo el cliente puede ingresar la contraseña de
acceso a su cuenta de ahorro o corriente para poder efectuar la
transacción.
• Pantalla: Con esto el cliente visualiza las opciones para poder realizar la
transacción.
• Botones de la pantalla: Con esto el cliente selecciona las opciones para
realizar una transacción o retiro de dinero en efectivo.
Gráfico No. 4 Partes de un cajero automático
Fuente: https://codigopgt.wordpress.com/2008/03/05/como-funciona-un-cajero-
automatico/
Autor: Pedro Guillermo
16
Ataque Jackpotting
Jackpotting es un malware o código malicioso que es utilizado por los piratas
informáticos para extraer dinero de los cajeros automáticos por medio de sus
dispensadores, tomando el control de algunos de los componentes del cajero
tales como:
• Lector de tarjetas.
• Dispensador de dinero.
• PIDPAD.
Con estos elementos bajo control del atacante cibernético, este posee la
capacidad de sustraerse cantidades altas de dinero sin la necesidad de utilizar
tarjetas de débito o crédito.
Gráfico No. 5 Ataque Jackpotting
Fuente: http://securityaffairs.co/wordpress/29811/cyber-crime/uk-crooks-stole-1-6m-
atms.html
Autor: Pierluigi Paganini
17
Modos de funcionalidad del ataque Jackpotting por medio del software ALICE
• Los piratas informáticos acceden a la CPU central del cajero automático
vulnerando el cuadro superior utilizando llaves que abren la tapa
delantera del cajero.
• Una vez realizado el proceso anterior acceden a las unidades USB o a la
unidad de CD-ROM con el objetivo de infectar el cajero automático con el
malware ALICE.
• ALICE es un archivo ejecutable que se lanza de forma manual en la cual se
oculta reemplazando el binario legítimo de Windows Task Manager
(taskmgr.exe). Antes de lanzar el código malicioso, lleva a cabo algunas
pruebas de comprobación para asegurarse de que se está ejecutando en
un entorno XFS (Extensions for Financial Services) adecuado, es decir, que
se está ejecutando en un cajero real, con independencia de su marca y
modelo.
• Una vez incrustado el malware ALICE, procede a tomar el control del
cajero automático desplegando un GUI personalizado y solicitando un
código de autorización para garantizar el control del dispensador del
cajero.
• Una vez ejecuta el malware ALICE se otorga la autorización y se utiliza
una API de XFS para interactuar con el dispensador del cajero
permitiendo lanzar múltiples comandos de dispensación logrando a una
fase de que la caja del cajero quede totalmente vacía.
• Para finalizar el proceso de ataque ALICE utiliza un mecanismo de
limpieza y desinstalación con el fin de eliminar cualquier inicio de
intrusión.
18
MEDIDAS DE SEGURIDAD EN CAJEROS AUTOMÁTICOS
Actualmente los cajeros automáticos ATM son utilizados por las personas para
realizar múltiples transacciones, estos se encuentran expuestos a amenazas que
pueden ser aprovechadas por los atacantes maliciosos para efectuar intrusiones
maliciosas en beneficio propio logrando aumentar los índices de ataques
informáticos por la desactualización de los cajeros.[10]
La gran mayoría de los cajeros automáticos de marca ATMs, funcionan con
sistema operativo Windows XP y 7, en la cual estas plataformas ya no cuentan
con licencia y soporte debido a estos inconvenientes los cajeros se convierte en
un blanco fácil de los piratas informáticos con el objetivo de atentar a la
confidencialidad de la información, el 1% de las instituciones financieras del
mundo poseen equipos dispensadores de dinero que funcionan bajo el sistema
operativo Linux (SUSE) lo que cual poseen una robustez ante ataques Jackpotting
disminuyendo asi los niveles de riesgos y amenazas expuestos en estos
dispositivos.[10]
A continuación se presentará una estructura de los cajeros automáticos:
Gráfico No. 6 Estructura de los cajeros automáticos
Fuente: http://www.securitybydefault.com/2015/09/introduccion-seguridad-de-
cajeros.html Autor: Trabajo de Investigación
19
Las medidas de seguridad que son aplicables al proyecto son las siguientes:
• Cifrado de comunicaciones por medio de redes privadas virtuales VPN.
• Cifrado de disco.
• Protección del BIOS.
• Configuración de nuevos componentes.
• Aplicación de estándares Payment Card Industry.
• Compra de soluciones de antivirus, antimalware y listas blancas.
• Gestión de parches.
• Correlación de eventos.
• Políticas de seguridad de Windows.
• Gestión de contraseñas.
• Restricción de accesos.
• Protección de llaves de acceso al software.
• Actualizaciones del sistema operativo Windows.
• Dispositivos Anti-Skimming.
• Identificación del personal que tiene acceso.
FUNDAMENTACIÓN SOCIAL
El proyecto consiste en dar a conocer las vulnerabilidades presentes en los
sistemas de cajeros automáticos en algunas instituciones bancarias, por medio
de la intrusión Jackpotting. Además, esta propuesta determinará un impacto de
las posibles pérdidas financieras y de información que ha podido tener algunos
de los bancos por la falta de actualización de sus cajeros automáticos que
quedan ubicados en gasolineras, centros comerciales y cafeterías. Esta intrusión
en mención definirá los componentes que se deben utilizar para la simulación del
ataque a un sistema de un cajero automático con el objetivo de detectar el grado
de vulnerabilidad expuesto.
20
FUNDAMENTACIÓN LEGAL
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR
Sección novena
De la ciencia y tecnología
Art. 80.- El Estado fomentará la ciencia y la tecnología, especialmente en todos
los niveles educativos, dirigidas a mejorar la productividad, la competitividad, el
manejo sustentable de los recursos naturales, y a satisfacer las necesidades
básicas de la población.
Garantizará la libertad de las actividades científicas y tecnológicas y la protección
legal de sus resultados, así como el conocimiento ancestral colectivo.
La investigación científica y tecnológica se llevará a cabo en las universidades,
escuelas politécnicas, institutos superiores técnicos y tecnológicos y centros de
investigación científica, en coordinación con los sectores productivos cuando sea
pertinente, y con el organismo público que establezca la ley, la que regulará
también el estatuto del investigador científico.
CÓDIGO ORGÁNICO INTEGRAL PENAL
SECCIÓN TERCERA
Delitos contra la seguridad de los activos de los sistemas de información y
comunicación
Artículo 229.- Revelación ilegal de base de datos: La persona que, en provecho
propio o de un tercero, revele información registrada, contenida en ficheros,
archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema
21
electrónico, informático, telemático o de telecomunicaciones; materializando
voluntaria e intencionalmente la violación del secreto, la intimidad y la
privacidad de las personas, será sancionada con pena privativa de libertad de
uno a tres años.
Si esta conducta se comete por una o un servidor público, empleadas o
empleados bancarios internos o de instituciones de la economía popular y
solidaria que realicen intermediación financiera o contratistas, será sancionada
con pena privativa de libertad de tres a cinco años.
Artículo 231.- Transferencia electrónica de activo patrimonial: La persona que,
con ánimo de lucro, altere, manipule o modifique el funcionamiento de
programa o sistema informático o telemático o mensaje de datos, para
procurarse la transferencia o apropiación no consentida de un activo patrimonial
de otra persona en perjuicio de esta o de un tercero, será sancionada con pena
privativa de libertad de tres a cinco años.
Con igual pena, será sancionada la persona que facilite o proporcione datos de su
cuenta bancaria con la intención de obtener, recibir o captar de forma ilegítima
un activo patrimonial a través de una transferencia electrónica producto de este
delito para sí mismo o para otra persona.
Artículo 232.- Ataque a la integridad de sistemas informáticos: La persona que
destruya, deteriore, borre, suspenda, trabe, cause mal funcionamiento,
comportamiento no deseado o suprima datos informáticos, mensajes de correo
electrónico, de sistemas de tratamiento de información, telemático o de
telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen,
será sancionada con pena privativa de libertad de tres a cinco años.
22
Con igual pena será sancionada la persona que:
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda
o distribuya de cualquier manera, dispositivos o programas informáticos
maliciosos o programas destinados a causar los efectos señalados en el
primer inciso de este artículo.
2. Destruya o altere sin la autorización de su titular, la infraestructura
tecnológica necesaria para la transmisión, recepción o procesamiento de
información en general.
Si la infracción se comete sobre bienes informáticos destinados a la prestación
de un servicio público o vinculado con la seguridad ciudadana, la pena será de
cinco a siete años de privación de libertad.
Artículo 234.- Acceso no consentido a un sistema informático, telemático o de
telecomunicaciones.- La persona que sin autorización acceda en todo o en parte
a un sistema informático o sistema telemático o de telecomunicaciones o se
mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo
derecho, para explotar ilegítimamente el acceso logrado, modificar un portal
web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que
estos sistemas proveen a terceros, sin pagarlos a los proveedores de servicios
legítimos, será sancionada con la pena privativa de la libertad de tres a cinco
años.
23
LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE
DATOS
Art. 5.- Confidencialidad y reserva: Se establecen los principios de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma,
medio o intención. Toda falta a estos principios, especialmente aquellas referidas
a la intrusión electrónica, transferencia ilegal de mensajes de datos o
incumplimiento del secreto profesional, será sancionada conforme a lo dispuesto
en esta Ley y demás normas que rigen la materia.
Art. 9.- Protección de datos: Para la elaboración, traspaso o utilización de bases
de datos, elaboradas directa o indirectamente del uso o transmisión de mensajes
de datos, se requerirá el consentimiento expreso del titular de éstos, quien
podrá seleccionar la información a compartirse con terceros.
La recopilación y uso de datos personales responderá a los derechos de
privacidad, intimidad y confidencialidad garantizados por la Constitución Política
de la República y esta ley, los cuales podrán ser utilizados o transferidos
únicamente con autorización del titular u orden de autoridad competente.
No será preciso el consentimiento para recopilar datos personales de fuentes
accesibles al público, cuando se recojan para el ejercicio de las funciones propias
de la administración pública, en el ámbito de su competencia, y cuando se
refieran a personas vinculadas por una relación de negocios, laboral,
administrativa o contractual y sean necesarios para el mantenimiento de las
relaciones o para el cumplimiento del contrato.
24
HIPÓTESIS
1. ¿Considera usted que al ejecutar un ataque por test intrusión a los
cajeros automáticos pertenecientes a su institución financiera, podrá
identificar los fallos de seguridad presentes en su infraestructura lógica?
2. ¿Considera que las normas PCI determinara lineamientos para disminuir
las vulnerabilidades en los cajeros automáticos?
3. ¿El ataque Jackpotting puede causarle problemas con la información de
sus clientes bancarios?
VARIABLES DE INVESTIGACIÓN
Tabla No. 2 Variables de la investigación
Tipo de Variable
Variable
Independiente Ataques por Test Intrusión.
Dependiente
Seguridad de cajeros
automáticos.
Fuente: Trabajo de Investigación Autores: Karina Montenegro
DEFINICIONES CONCEPTUALES
Hardware: Conjunto de elementos físicos o materiales que constituyen una
computadora o un sistema informático.
Software: Conjunto de programas o rutinas que permiten a una computadora
realizar tareas específicas.
25
Electrónica: Parte de la física que estudia los cambios de los electrones libres y la
acción de las fuerzas electromagnéticas en la cual se las utiliza en dispositivos
que transmiten información.
Teclado: Conjunto de teclas de un instrumento musical, de una computadora o
de cualquier dispositivo que sea utilizado por un usuario para digitar un conjunto
de textos.
Monitor: Pantalla del ordenador que muestra datos o información al usuario.
Ranura: Hendidura o un canal largo y estrecho que se abre en un cuerpo solido
con diversos fines, como hacer un embalaje o guiar piezas movibles.
Alice: Es un programa del computador actúa maliciosamente alterando el
sistema operativo del cajero automático consiguiendo el dinero en efectivo.
CD-ROM: Es un periférico que sirve para leer datos.
CPU: Es la unidad donde se procesan los datos.
Windows Task Manager: Es un software que sirve para monitorear las tareas
que se están ejecutando.
26
CAPITULO III
METODOLOGÍA DE LA INVESTIGACIÓN
DISEÑO DE LA INVESTIGACIÓN
MODALIDAD DE LA INVESTIGACIÓN
La modalidad de la investigación destinada al desarrollo del proyecto referente al
análisis de vulnerabilidades en los sistemas de cajeros automáticos será la de
proyecto factible enfocándose en la recopilación de datos y revisión del material
bibliográfico.
TIPO DE INVESTIGACIÓN
Para el desarrollo del proyecto se emplearán dos tipos de investigación que son
las siguientes: investigación campo y documental, como punto de partida se
requiere tener conocimientos de los cajeros automáticos enfocándose en sus
funciones, ventajas, desventajas, tipo de arquitectura computacional y sistema
operativo instalado, con el objetivo de poder realizar un análisis de
vulnerabilidades mediante un ambiente de simulación aplicando herramientas
de código abierto.
En cuanto al trabajo de campo se consultó con tres instituciones bancarias que
son las siguientes: Banco de Guayaquil, Banco Bolivariano y Banco del Pichincha,
con el objetivo de recopilar información referente a sus cajeros automáticos
ubicados en farmacias, gasolineras, cafeterías y centros comerciales, una vez
recopilada la información de estos hardware se procederá a realizar el ambiente
de prueba utilizando el sistema operativo Kali Linux y la herramienta Java.
27
POBLACIÓN Y MUESTRA
La investigación sobre el análisis de vulnerabilidades en los sistemas de cajeros
automáticos se la realizara en las tres instituciones bancarias que son: Banco de
Guayaquil, Banco Bolivariano y Banco del Pichincha a un total de 600 personas
que participaran en el proceso de recopilación de información sobre estos
dispositivos.
A continuación se mostrara una tabla del cuadro distributivo de la población
sobre las personas que participaron en la recolección de datos.
Tabla No. 3Cuadro distributivo de la población
Población Cantidad
Banco de Guayaquil 150
Banco Bolivariano 150
Banco del Pichincha 300
Total 600
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Muestra
En el proceso del planteamiento de la muestra se toma en consideración a una
parte de la población equivalente a 600 personas que laboran en las tres
instituciones bancarias en mención, para proceder con el cálculo de la muestra
se utilizara la siguiente fórmula que se mostrara a continuación.
Calculo de la muestra
n =𝑚
𝑒2(m − 1) + 1
• M = Tamaño de la población (600)
28
• E = Error de estimación (0.06)
• N = Tamaño de la muestra (190)
n =600
(0.06)2(600 − 1) + 1
n =600
(0.0036)(599) + 1
n =600
2.1564 + 1
n =600
3.1564
n = 190.09
n = 190 personas a encuestar
Tabla No. 4Cuadro distributivo de la muestra
Población Cantidad
Banco de Guayaquil 100
Banco Bolivariano 40
Banco del Pichincha 50
Total 190
Fuente: Trabajo de Investigación Autora: Karina Montenegro
29
INSTRUMENTOS DE RECOLECCIÓN DE DATOS
Técnica e instrumentos
Las técnicas que se aplicaran el presente proyecto de titulación en fase de
desarrollo son las observaciones y las encuestas que son dirigidas a una muestra
representativa equivalente a 190 usuarios de las tres instituciones en mención.
Se realizó encuestas al departamento de sistemas de las tres instituciones
bancarias para determinar la viabilidad del proyecto con el objetivo de
demostrar las vulnerabilidades de los cajeros automáticos mediante un ambiente
de prueba.
Para el proceso de observación se expondrán evidencias de los cajeros
automáticos desactualizados de las tres instituciones bancarias en mención con
la finalidad de demostrar de manera evidenciada las desactualizaciones de estos
dispositivos implementados en los Bancos.
Recolección de la información
Para el proceso de recolección de la información se encuestó a 100 personas del
departamento de sistemas del Banco de Guayaquil, 40 del Banco Bolivariano y 50
del Banco del Pichincha con el objetivo de recopilar la mayor cantidad de
información referente a los cajeros automáticos instalados en farmacias,
gasolineras y centros comerciales.
A continuación, se describirán los siguientes puntos de las encuestas.
• Se diseñaran un total de 10 preguntas.
30
• Las respuestas de cada pregunta se las tabulara en Microsoft Excel
utilizando gráficos de pastel.
• Las opciones de respuestas de cada pregunta son de múltiples opciones.
31
Análisis de las encuestas
1. ¿Usted como entidad bancaria cuántos cajeros automáticos posee en la
ciudad de Guayaquil?
Tabla No. 5 Resultados de la pregunta 1
Ítems Alternativas Conteo Porcentaje
1 10 cajeros 20 11%
2 20 cajeros 10 5%
3 30 a 50 cajeros 70 37%
4 80 a 100 cajeros 40 21%
5 100 o más 50 26%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 7 Porcentaje de la pregunta 1
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 37% de los empleados
del departamento de sistemas de las tres entidades bancarias poseen cajeros
automáticos en farmacias, gasolineras y centros comerciales.
11%5%
37%21%
26%
1 10 cajeros 2 20 cajeros 3 30 a 50 cajeros
4 80 a 100 cajeros 5 100 o más
32
2. ¿Qué porcentaje de los cajeros automáticos utilizan en su sistema
operativo Windows XP?
Tabla No. 6 Resultados de la pregunta 2
Ítems Alternativas Conteo Porcentaje
1 Mayor al 20% 20 11%
2 Entre el 30% y el 50% 90 47%
3 Menor al 70% 30 16%
4 Todas las Anteriores 50 26%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 8 Porcentaje de la pregunta 2
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 47% de los empleados
del departamento de sistemas de las tres entidades bancarias detallan que los
cajeros automáticos que poseen Windows XP están entre el 30% y el 50%
respectivamente.
11%
47%16%
26%
1 Mayor al 20% 2 Entre el 30% y el 50%
3 Menor al 70% 4 Todas las Anteriores
33
3. ¿Qué tipo de servicios proporcionan los cajeros automáticos?
Tabla No. 7 Resultados de la pregunta 3
Ítems Alternativas Conteo Porcentaje
1 Depósitos en efectivo 70 37%
2 Depósitos en cheque 50 26%
3 Retiros 40 21%
4 Otros tipos de transacciones 30 16%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 9 Porcentaje de la pregunta 3
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 37% de los empleados
del departamento de sistemas de las tres entidades bancarias detallan que los
cajeros automáticos solamente realizan retiros solicitados por los clientes
bancarios.
37%
26%
21%
16%
1 Depósitos en efectivo 2 Depósitos en cheque
3 Retiros 4 Otros tipos de transacciones
34
4. ¿Conoce usted el ataque Jackpotting y Metasploit?
Tabla No. 8 Resultados de la pregunta 4
Ítems Alternativas Conteo Porcentaje
1 SI 100 53%
2 He escuchado 50 26%
3 NO 40 21%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 10 Porcentaje de la pregunta 4
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 53% de los empleados
del departamento de sistemas de las tres entidades bancarias mencionan que
conocen los ataques Jackpotting y Metasploit.
53%
26%
21%
1 SI 2 He escuchado 3 NO
35
5. ¿Sabía usted los sistemas de cajeros automáticos pueden ser
vulnerables al ataque Jackpotting de test de intrusión?
Tabla No. 9 Resultados de la pregunta 5
Ítems Alternativas Conteo Porcentaje
1 Si sabía pero solo son en cajeros automáticos
desactualizados.
100 53%
2 Si sabía un poco. 50 26%
3 Si sabía, pero solo eran en cajeros automáticos
ubicados en otras partes del mundo.
30 16%
4 No, sabia 10 5%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 11 Porcentaje de la pregunta 5
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 53% de los empleados
del departamento de sistemas de las tres entidades si sabían que los cajeros
automáticos desactualizados son vulnerables al ataque Jackpotting.
53%
26%
16% 5%
1 Si sabía pero solo son en cajeros automáticosdesactualizados.
2 Si sabía un poco.
3 Si sabía pero solo eran en cajeros automáticosubicados en otras partes del mundo.
36
6. ¿Usted como entidad bancaria sus cajeros automáticos han estado
sometido a un ataque informático?
Tabla No. 10 Resultados de la pregunta 6
Ítems Alternativas Conteo Porcentaje
1 Si, Algunas veces 40 21%
2 Si, frecuentemente 30 16%
3 Si, Constantemente 100 53%
4 No, Nunca 20 10%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 12 Porcentaje de la pregunta 6
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 53% de los empleados
del departamento de sistemas de las tres entidades detallan que los cajeros
automáticos han estado sometidos a un ataque informático.
21%
16%
53%
10%
1 Si, Algunas veces 2 Si, frecuentemente
3 Si, Constantemente 4 No, Nunca
37
7. ¿Estaría de acuerdo que se realicen auditorías de seguridad informática
para la detección de posibles vulnerabilidades expuestas en dichos
cajeros?
Tabla No. 11 Resultados de la pregunta 7
Ítems Alternativas Conteo Porcentaje
1 SI 150 79%
2 NO 40 21%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 13 Porcentaje de la pregunta 7
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 79% de los empleados
del departamento de sistemas de las tres entidades detallan que si están de
acuerdo que se realicen auditorías de seguridad informática para la detección de
las posibles vulnerabilidades.
79%
21%
SI NO
38
8. ¿Está de acuerdo que se implementen actualizaciones en los sistemas
de cajeros automáticos para evitar intrusiones maliciosas?
Tabla No. 12 Resultados de la pregunta 8
Ítems Alternativas Conteo Porcentaje
1 SI 150 79%
2 NO 40 21%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 14 Porcentaje de la pregunta 8
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verifico que el 79% de los empleados
del departamento de sistemas de las tres entidades detallan que si están de
acuerdo que se implementen actualizaciones en los sistemas de cajeros
automáticos.
79%
21%
SI NO
39
9. ¿Cree usted que al no tomar en consideración las posibles
vulnerabilidades expuestas en los cajeros automáticos se pueden
producir riesgos de pérdida de información sensible?
Tabla No. 13 Resultados de la pregunta 9
Ítems Alternativas Conteo Porcentaje
1 SI 170 89%
2 NO 20 11%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 15 Porcentaje de la pregunta 9
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verificó que el 89% de los empleados
del departamento de sistemas de las tres entidades detallan que al no tomar en
consideración las posibles vulnerabilidades expuestas en los cajeros automáticos
se producen riesgos de información sensible.
89%
11%
SI NO
40
10. ¿Usted como entidad bancaria posee el personal con experiencia en la
rama de seguridad informática que se encuentre capacitado ante
incidentes de seguridad basados en ataques Jackpotting?
Tabla No. 14 Resultados de la pregunta 10
Ítems Alternativas Conteo Porcentaje
1 SI, Poseo 20 11%
2 NO, Poseo 170 79%
Total 190 100%
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Gráfico No. 16 Porcentaje de la pregunta 10
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
Análisis: Durante la encuesta realizada se verificó que el 89% de los empleados
del departamento de sistemas de las tres entidades detallan que no poseen un
personal con mayor experiencia en la rama de seguridad informática.
11%
89%
SI, Poseo NO, Poseo
41
VALIDACIÓN DE LA HIPÓTESIS
Durante la realización de la encuesta se verificó que las tres instituciones
bancarias no poseen un personal con alta experiencia en la rama de seguridad
informática, también ellos están de acuerdo que se realicen auditorias de
seguridad informática para poder tener un conocimiento de las posibles
vulnerabilidades presentes en los cajeros automáticos, además ellos están de
acuerdo que se realicen actualizaciones en los sistemas informáticos de estos
dispositivos empotrados con el objetivos de mitigar los posibles riesgos
presentes en cada vulnerabilidad detectada, mediante estos inconveniente ellos
requieren que se realice un análisis que permite identificar el grado del fallo de
seguridad observado con la finalidad de diseñar un plan de contingencia basado
en las normas PCI para tener protegida la información sensible de las entidades
bancarias.
42
CAPITULO IV
PROPUESTA TECNOLÓGICA
La idea principal del proyecto de titulación es la de explicar a las tres
instituciones bancarias mencionada en capítulos anteriores los riesgos que
pueden producirse al no tener actualizados los cajeros automáticos y que tipos
de amenazas se pueden presentar cuando los piratas informáticos utilicen la
intrusión Jackpotting para realizar modificaciones de ciertas funcionalidades de
los cajeros con el objetivo de sustraer dinero físico almacenado en estos
hardware.
Este proyecto se basa en desarrollar una aplicación de cajero automático en el
lenguaje de programación Java configurando las funciones actuales de los cajeros
automáticos una vez realizado este proceso se procede a iniciar con el ataque
Jackpotting y el Metasploit para identificar los riesgos que se producen en cada
vulnerabilidad detectada mediante un ambiente de simulación.
ANÁLISIS DE FACTIBILIDAD
Conociendo que el tema de las vulnerabilidades expuestas en los cajeros
automáticos en el Ecuador es netamente nuevo, debido a estos motivos se
denomina factible el desarrollo de la propuesta ya que existen antecedentes de
otras instituciones bancarias ubicadas en otros países que han sido vulneradas
por los piratas informáticos en beneficio propio, profesionales de ciberseguridad
han hecho público estos fallos de seguridad presentes en los sistemas de cajeros
automáticos con la finalidad de prevenir a las instituciones financieras este tipo
de sucesos.
Para el desarrollo del proyecto se selecciono información de gran utilidad
mediante técnicas de instrumentación de datos, con el objetivo de crear un
43
ambiente de prueba basándose en los requerimientos propuestos por las tres
entidades bancarias a las que se le realizó la encuesta.
Este proyecto ofrece una puerta abierta a la ejecución de auditorías de seguridad
informática con la finalidad de diseñar planes de prevención para evitar la
perpetuación del ataque Jackpotting.
FACTIBILIDAD OPERACIONAL
Enfocándose en los requerimientos de las entidades financieras se determina
que la propuesta es factible operacionalmente por la cual se utilizará
herramientas de código abierto y de fácil manejo, además, el proyecto se lo
realizará en un ambiente de simulación demostrando las vulnerabilidades y
amenazas a que pueden estar expuestos los bancos por la no toma de
consideración de estos fallos de seguridad.
Los especialistas informáticos que laboran en el departamento de sistema de
cada institución bancaria en mención requieren que se realicen pruebas de
laboratorio para determinar los tipos de riesgos que se produce al realizar la
intrusión Jackpotting por medio de la aplicación desarrollada en Java y el sistema
operativo Kali Linux.
La aplicación desarrollada en programación en Java que permitirá demostrar las
funcionalidades de un cajero automático desactualizado y su modo de operación,
además esta aplicación se completara con el sistema operativo Kali Linux para
realizar las pruebas de ataque detallando el modo de penetración del
Jackpotting.
44
FACTIBILIDAD TÉCNICA
Mediante el estudio de factibilidad técnica identificaremos los recursos de
hardware y software para la implementación del proyecto con el objetivo de
tener claro el enfoque que se desea realizar.
A continuación, los siguientes recursos computacionales, que serán utilizados
para el desarrollo del proyecto:
• Computadora Laptop con procesador core i3
• Sistema Operativo Kali Linux.
• Aplicativo de Java Netbeans para el desarrollo de la aplicación de cajero
automático.
Para el desarrollo del proyecto se consideró el IDE de Netbeans por la cual este
programa posee las cualidades de realizar conexiones basadas en Sockets,
canales de comunicación, conexiones con múltiples bases de datos y demás
funcionalidades.
Mediante el proceso de implementación del proyecto con la herramienta
Netbeans podemos realizar pruebas demostrando las funciones de un cajero
automático desactualizado y con el sistema operativo Kali Linux se simula el
ataque Jackpotting en la cual permitirá acceder a la aplicación de cajero
automático.
FACTIBILIDAD ECONÓMICA
La factibilidad económica del proyecto cosiste en los gastos que se generaran
durante el desarrollo del mismo, además incluye los que son gastos de
transportación y alimentación. A continuación, se indicará en la siguiente tabla
los costos del proyecto en base a su implementación dentro del ambiente de
simulación y requerimientos propuestos por las instituciones bancarias.
45
Tabla No. 15 Costos del Proyecto
Descripción Costo total
Computadora Laptop con procesador
Core i3.
$ 700
Servicio de Internet $ 25
Trasportación $ 100
Alimentación $ 100
Gastos de Oficina $ 50
Otros Gastos $ 50
Total $ 1025
Fuente: Trabajo de Investigación Autora: Karina Montenegro
Debido a estos gastos que se genera en el desarrollo del proyecto se lo denomina
factible económicamente por la cual se utilizaran herramientas de código abierto
y el costo se ajusta a los requerimientos propuestos por el desarrollador.
FACTIBILIDAD LEGAL
La factibilidad legal del proyecto consiste en que la propuesta se ajuste a los
lineamientos y artículos establecidos por cada ley implementada por el Gobierno
Ecuatoriano, además este proyecto no viola ni vulnera las leyes vigentes de la
república del Ecuador por la cual el mismo se base en demostrar las
vulnerabilidades de los sistemas de cajeros automáticos por medio de un
ambiente de prueba.
46
ETAPAS DE METODOLOGÍA DEL PROYECTO
La metodología aplicable al proyecto es la metodología AGILE en la cual el mismo
cumple con las siguientes fases o etapas que conllevan al desarrollo y
terminación de la propuesta.
Fase de exploración
En esta etapa se definieron los alcances del proyecto, recopilando la información
necesaria de los cajeros automáticos mediante una investigación bibliográfica
donde se indago el ataque que se realiza a estos dispositivos empotrados y
sobrepuestos, además se inició con el proceso de investigación para el desarrollo
de una aplicación de cajero automático en Java y con la herramienta Kali Linux
demostrar las pruebas necesarias ajustándose a los objetivos específicos de la
investigación.
Fase de planificación
En esta fase de planificación se detalla todas las actividades que conllevan al
desarrollo del proyecto por medio de un ambiente de simulación que se lo
demostrara en la etapa de revisión y sustentación.
A continuación, actividades del proyecto:
• Inicio de la investigación del proyecto.
• Desarrollo de encuestas a las tres instituciones bancarias.
• Desarrollo de la aplicación de cajero automático en Java.
• Implementación del ambiente de simulación para ejecutar el Ataque
Jackpotting.
47
Fase de diseño
En esta última fase se emplea un diseño del proyecto demostrando su
finalización, para luego ser revisado por el tutor y revisor verificando si existen
algunas observaciones, en este caso se da por culminada la propuesta.
ENTREGABLES DEL PROYECTO
Los entregables del proyecto son los siguientes:
• Permiso de apertura de la encuesta en las tres instituciones financieras.
• Código de la aplicación de cajero automático.
• Diseño del ambiente de prueba.
• Diagrama del ataque Jackpotting.
• Evidencias de la encuesta en las tres instituciones financieras.
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Para validar la propuesta del presente proyecto de titulación se tomaron en
consideración los criterios del Ingeniero Marlon Altamirano Di Luca experto en
seguridad informática que fue impartido por el mismo mediante una encuesta,
los cuales el menciona que las instituciones financieras deben de tomar en
cuenta las vulnerabilidades presentes en los cajeros automáticos para prevenir la
sustracción de dinero físico por parte de los ciberdelincuentes que realizan
intrusiones maliciosas para establecer el robo de dinero en sistemas de cajeros
automáticos. La mayoría de las entidades bancarias en algunos lugares poseen
cajeros automáticos desactualizados donde esto se convierte en una puerta
grande para los piratas informáticos que realizan ciberataques en beneficio
propio produciendo perdidas en las instituciones bancarias, debido a estos
inconvenientes los bancos y cooperativas de ahorro y crédito deben de fortalecer
la seguridad de la información en sus sistemas informáticos con el objetivo de
generar un mejor rendimiento y calidad a los clientes en base a esto se
48
disminuirán los riesgos y amenazas en estos dispositivos dispensadores de
dinero.
A su vez el Ingeniero Altamirano indica que existen varios procesos de mejora de
la seguridad de la información de los sistemas de cajeros automáticos en la cual
las normas de seguridad informática son utilizadas como una guía de seguridad
por otras instituciones financieras para la toma del control de los riesgos y
amenazas y tener un personal altamente capacitado y preparado ante incidentes
de seguridad.
CRITERIOS DE ACEPTACION DEL PRODUCTO
Tabla No. 16Criterios de aceptación del producto
INDICADORES ESTRATEGIAS CUMPLIMIENTO
Evaluación de la
seguridad de los
sistemas de cajeros
automáticos por medio
del ataque Jackpotting.
Actualización de los
sistemas operativos de
los cajeros automáticos
que están ubicados en
farmacias, centros
comerciales y demás.
100%
Identificación de las
posibles
vulnerabilidades de los
cajeros automáticos.
Implementación de
dispositivos de
seguridad informática
para disminuir la
inseguridad de
propagación de código
malicioso
100%
Generación de un
reporte, detallando los
resultados obtenidos
Evidencias de las
pruebas realizadas
dentro de un ambiente
100%
49
por medio del ataque
Jackpotting.
de prueba.
Fuente: Trabajo de Investigación Autora: Karina Montenegro
50
CONCLUSIONES
• Por medio del levantamiento de información en los cajeros automáticos
se pudo determinar que alguno de ellos posee sistemas operativos
Windows XP para la realización de transacciones, además las
arquitecturas de estos no contienen actualizaciones desde el año 2010.
• Por medio del lenguaje de programación JAVA con su respectivo IDE de
NETBEANS se pudo simular la función de un cajero automático y con la
herramienta Kali Linux integrada con la intrusión de Metasploit se adapta
a los ataques Jackpotting por la cual este cumple con los requerimientos
de dicho ataque informático.
• Mediante el análisis de vulnerabilidades en los sistemas de cajeros
automáticos se determinó por medio del Metasploit, puertos abiertos,
servicios levantados, versión del sistema operativo del cajero automático
y demás.
• Por medio de informes de auditoría de seguridad informática se
evidencio los resultados generados por el ataque Jackpotting utilizando la
herramienta Metasploit integrada en el sistema operativo Kali Linux.
• Dentro de la investigación desarrollada se pudo verificar que la norma PCI
como guía de seguridad, proporciona una serie de políticas y controles
que ayudan a disminuir los riesgos producidos por el ataque Jackpotting.
51
RECOMENDACIONES
• Se recomienda que se realicen actualizaciones del sistema operativo de
algunos cajeros automáticos que se encuentran en un estado de
desactualización para evitar propagación de códigos maliciosos.
• Se recomienda que se realicen auditorías periódicas para conocer el
estado de la seguridad de los sistemas de cajeros automáticos y con estos
poder tomar los controles adecuados para proteger la información
almacenada en estos dispositivos.
• Se recomienda que se realicen intrusiones para que las organizaciones
financieras puedan tener conocimiento de los riesgos que se pueden
producir al no tomar en consideración las posibles vulnerabilidades en los
cajeros automáticas.
• Evidenciar todas las vulnerabilidades detectadas para informar a las
organizaciones financieras sobre todos estos fallos de seguridad
mediante un informe de auditoría de seguridad informática.
• Se recomienda el uso de normas de seguridad de la información para la
implementación de políticas de seguridad y controles que ayuden a
salvaguardar la información de carácter confidencial.
52
BIBLIOGRAFÍA
[1] BBVA, “HISTORIA DE LOS CAJEROS AUTOMATICOS,” 2013. [Online].
Available: https://www.bbva.com/es/historia-de-los-cajeros-
automaticos/.
[2] Kaspersky, “Hacking de cajeros automaticos,” 29/09/2016, 2016. .
[3] O. Kochetova, “Cajeros automaticos,” 16/04/2016, 2016. .
[4] Ó. Gutiérrez, “La banda Carbanak está detrás del robo digital más grande
de la historia,” 16/02/2015, 2015. .
[5] A. Ferrer, “Piratas informaticos,” 17/02/2015, 2015. .
[6] E. Marín, “Unos Hackers roban 13 millones de dólares de cajeros
automáticos en Japón en apenas 2 horas,” 23/05/2016, 2016. .
[7] Ó. Condés, “7 cosas por las que hackear un cajero automático es sencillo,”
29/03/2016, 2016. .
[8] M. P. Corzón, “Cajero automático,” 2013. [Online]. Available:
https://www.ecured.cu/Cajero_automático.
[9] J. Alviz, “Microsoft entierra Windows XP y los cajeros automáticos temen
por su seguridad,” 2013. [Online]. Available:
https://clipset.20minutos.es/microsoft-entierra-windows-xp-y-los-cajeros-
automaticos-temen-por-su-seguridad/.
[10] Contribuciones, “INTRODUCCION A LOS ATMs,” 29/09/2015, 2015.
[Online]. Available:
http://www.securitybydefault.com/2015/09/introduccion-seguridad-de-
cajeros.html.
53
ANEXOS
Anexo 1: Simulación del cajero automático
En esta ventana se procede a iniciar el servicio de Metasploit.
Gráfico No. 17 Inicio del Metasploit
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta ventana se procede a verificar el servicio de base de datos levantado.
Gráfico No. 18 Verificación del servicio de base de datos
Fuente: Trabajo de Investigación
54
Autora: Karina Montenegro
Una vez levantado el servicio de base de datos se procede con el inicio de la
herramienta Armitage.
Gráfico No. 19 Inicio de Armitage
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta ventana se procede a conectar el Armitage con la dirección IP de
localhost de Kali Linux.
Gráfico No. 20 Conexión de Armitage con la dirección IP de localhost
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
55
En esta ventana se procede a verificar la carga de los módulos de Armitage.
Gráfico No. 21 Carga de los módulos de Armitage
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta ventana se procede a seguir verificando la carga de los módulos de
Armitage.
Gráfico No. 22 Carga de los módulos de Armitage
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
56
En esta ventana se procede a activar el Metasploit.
Gráfico No. 23 Activación del Metasploit
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta ventana se procede a verificar la carga del servicio de Armitage.
Gráfico No. 24 Verificación de la conexión de Armitage
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
57
En esta ventana se procede a verificar el estado de conexión del Armitage.
Gráfico No. 25 Estado de conexión
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta etapa se procede a escanear las computadoras que están conectadas a la
red.
Gráfico No. 26 Escaneo de Puertos con Armitage
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
58
En esta ventana se procede a asignar la dirección de red para el escaneo de
cajeros automáticos.
Gráfico No. 27 Asignación de la dirección de red para el escaneo de cajeros
automáticos
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta etapa se procede a verificar los cajeros automáticos.
Gráfico No. 28 Cajeros automáticos
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
59
Gráfico No. 29 Escaneo de ataques
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En este proceso se verifica la carga de los exploit para cargar el cajero
automático.
Gráfico No. 30 Carga de los exploit para el cajero automático
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
60
En esta ventana se procede a la activación del exploit para atacar los cajeros
automáticos.
Gráfico No. 31 Activación del exploit
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta ventana se procede a activar el exploit desde un navegador web.
Gráfico No. 32 Activación del exploit por medio del navegador
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
61
En esta ventana se procede a verificar el cajero automático infectado.
Gráfico No. 33 Cajero automático infectado
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
62
Anexo 2: Diseño del Ataque
Gráfico No. 34 Diseño del Ataque Jackpotting
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
63
Anexo 3: Programación del cajero automático En esta ventana se procede a iniciar las variables del cajero automático.
Gráfico No. 35 Inicio de las variables
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta ventana se procede a programar las funciones del cajero automático
Gráfico No. 36 Programación de las funciones del cajero
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
64
En esta ventana se procede a programar las fases del cajero automático.
Gráfico No. 37 Programación de las fases del cajero
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta ventana se programan la fase tres del cajero automático.
Gráfico No. 38 Programación de las siguientes fases
65
Fuente: Trabajo de Investigación Autora: Karina Montenegro
En esta ventana se programa las fases cuatro y cinco del cajero automático.
Gráfico No. 39 Programación de la fase cuatro y cinco
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
En esta etapa se procede a programar la fase seis del cajero y los eventos del
cajero automático.
Gráfico No. 40 Programación de la fase seis y de eventos
66
Fuente: Trabajo de Investigación Autora: Karina Montenegro
En esta etapa se procede a programar los eventos de los botones del cajero
automático.
Gráfico No. 41 Programación de los eventos de los botones
Fuente: Trabajo de Investigación
Autora: Karina Montenegro
67
Anexo 4: Informe Observaciones
• El cajero automático analizado se encuentran con el sistema operativo
Windows XP en la cual dicho sistema no se encuentra con actualizaciones
disponibles.
• El cajero automático posee vulnerabilidades de troyanos y exploit.
• El cajero automático se encuentra desactualizado en base a su
arquitectura.
• El cajero automático no posee mecanismos de protección en base a los
virus informáticos que los atacantes utilizan para tener el acceso a los
mismos.
Sugerencias
• Migrar a sistemas operativos actualizados que posean los parches de
seguridad disponibles dentro de los sistemas.
• Aplicar mecanismos de protección para disminuir los índices de
propagación de virus informáticos como troyanos y exploits.
• Implementar cajeros automáticos actualizados en base a su arquitectura
para incrementar la robustez y los niveles de seguridad del mismo con el
objetivo de evitar ataques maliciosos.
• Implementar aplicaciones de antivirus informáticos para bloquear los
accesos de troyanos y exploits.