El proveedor de cajeros automáticos de bitcoin Lamassu Industries corrigió una vulnerabilidad en sus cajeros automáticos de bitcoin (BTC) después de que un equipo de hackers éticos se hiciera con el control total de los dispositivos, poniendo de manifiesto algunos de sus fallos.
En 2023, investigadores de seguridad de IOActive intentaron secuestrar varios cajeros automáticos de Lamassu. Mientras trabajaban para acceder a las máquinas, el equipo de investigación identificó varias vulnerabilidades que lograron explotar para obtener acceso a los cajeros automáticos.
El director de tecnología de IOActive, Gunter Ollman, dijo a Cointelegraph que a través del exploit, los atacantes podían "ver y manipular las interacciones con el cajero secuestrado". El profesional de la seguridad explicó que los hackers podrían robar BTC de los monederos de los usuarios a través del cajero automático utilizando las vulnerabilidades. Ollman explicó:
“Un atacante sofisticado, con la preparación suficiente, podría modificar o reemplazar toda la experiencia de usuario del cajero automático y hacer ingeniería social para que el usuario realice acciones adicionales.”
El ejecutivo dijo que el atacante también podría engañar al usuario para que introduzca los datos de su cuenta bancaria, atrayéndole con ofertas como bitcoin gratis o con descuento. Sin embargo, Ollman también aseguró a la comunidad que el efecto se limitaría al saldo de la cuenta del usuario.
"En última instancia, cuando se puede comprometer un dispositivo hasta el nivel del sistema operativo, el alcance del ataque contra el usuario sólo está limitado a la confianza que éste tenga en el dispositivo o en el fabricante del dispositivo que utiliza", añadió.
Por su parte, Gabriel González, director de seguridad de hardware de IOActive, añadió que la vulnerabilidad permite a un atacante con acceso físico al cajero tener "control total". González explicó que, además de robar bitcoin, la vulnerabilidad también podría provocar que se vaciara todo el dinero del cajero. También podría "engañar al lector de billetes" para que muestre una mayor cantidad de dinero depositado en lugar de la cantidad real.
El ejecutivo también añadió que los cajeros podrían haber sido explotados de varias maneras, especialmente si se dejan desatendidos dondequiera que se encuentren.
Aunque el fallo en los cajeros podría haber afectado gravemente a sus usuarios, el proveedor de cajeros ya desplegó una solución mediante un parche de seguridad antes de que la vulnerabilidad se hiciera pública en 2024. La empresa informó a los propietarios de cajeros automáticos y les instó a actualizar sus cajeros de bitcoin.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión