SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN LA

CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO DE TEST DE INTRUSIÓN.”

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR (ES):

MONTENEGRO AVATA KARINA STEFANY

TUTOR:

ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.

GUAYAQUIL – ECUADOR

2018

II

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN

TÍTULO Y SUBTÍTULO:

SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN

LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS

UBICADAS EN LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING

COMO MECANISMO DE TEST DE INTRUSIÓN.

AUTOR(ES)

(apellidos/nombres ):

Montenegro Avata Karina Stefany

REVISOR(ES)/TUTOR(ES)

( apellidos/nombres ):

Ing. Francisco Álvarez Solís M.Sc.

INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL

UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA

MAESTRÍA/ESPECIALIDAD: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

GRADO OBTENIDO:

FECHA DE PUBLICACIÓN: No. DE PÁGINAS:

ÁREAS TEMÁTICAS: Networking Telecomunicaciones

PALABRAS CLAVES

/KEYWORDS:

Test de intrusión, Jackpotting, Seguridad Informática.

ADJUNTO PDF:

SI NO

CONTACTO CON AUTOR/ES: Teléfono: E-mail:

CONTACTO CON LA

INSTITUCIÓN:

Nombre:

Teléfono:

E-mail:

III

CARTA DE APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de titulación SIMULACIÓN Y ANÁLISIS DE

VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS

INSTITUCIONES FINANCIERAS UBICADAS EN LA CIUDAD DE GUAYAQUIL

UTILIZANDO JACKPOTTING COMO MECANISMO DE TEST DE INTRUSIÓN.

Elaborado por MONTENEGRO AVATA KARINA STEFANY, Alumna no titulada de la

Carrera de Ingeniería en Networking y Telecomunicaciones de la Facultad de

Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la

obtención del Título de Ingeniero en Networking y Telecomunicaciones, me

permito declarar que luego de haber orientado, estudiado y revisado, la apruebo

en todas sus partes.

Atentamente

ING. FRANCISCO XAVIERÁLVAREZ SOLÍS M.Sc.

TUTOR

IV

DEDICATORIA

Dedico este trabajo de tesis a Dios, mi

madre, esposo, hija, hermanos y comadre

María por haberme brindado su apoyo en mi

carrera universitaria.

V

AGRADECIMIENTO

Agradezco a Dios, mi tutor

y revisor por el apoyo, ayuda que

me brindaron para el desarrollo de

este trabajo de tesis.

Agradezco a mi madre y

esposo por la confianza que

brindaron para poder culminar

este objetivo y obtener mi título

universitario.

VI

TRIBUNAL PROYECTO DE TITULACIÓN

_______________________________

Ing. Eduardo Santos Baquerizo, M.Sc.

DECANO DE LA FACULTAD

CIENCIAS MATEMÁTICAS Y FÍSICAS

_________________________________

Ing. Harry Luna Aveiga, M.Sc.

DIRECTOR CINT

_____________________________

Ing. Francisco Álvarez Solís M.Sc.

PROFESOR DIRECTOR DEL PROYECTO DE

TITULACIÓN

______________________________

Ing. Silvia Medina Anchundia M.Sc.

PROFESOR TUTOR REVISOR

DEL PROYECTO DE TITULACIÓN

______________________________

Ab. Juan Chávez A.

SECRETARIO

VII

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este Proyecto de Titulación, me

corresponden exclusivamente; y el patrimonio intelectual de la misma a la

UNIVERSIDAD DE GUAYAQUIL”

MONTENEGRO AVATA KARINA STEFANY

VIII


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS

CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN LA

CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO DE

TEST DE INTRUSIÓN.”

Proyecto de Titulación que se presenta como requisito para optar por el título de

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR: MONTENEGRO AVATA KARINA STEFANY

C.I. 0927020024

TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.

Guayaquil, Marzo del 2018.

IX

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por la

estudiante MONTENEGRO AVATA KARINA STEFANY, como requisito previo para

optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo tema

es:

“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO

DE TEST DE INTRUSIÓN.”

Considero aprobado el trabajo en su totalidad.

Presentado por:

MONTENEGRO AVATA KARINA STEFANY CÉDULA DE CIUDADANÍA N°

0927020024

TUTOR: ING. FRANCISCO ÁLVAREZ SOLÍS M.Sc.

Guayaquil, Marzo del 2018.

X




Autorización para Publicación de Proyecto de Titulación en Formato Digital

1. Identificación del Proyecto de Titulación

Nombre del Alumno: Montenegro Avata Karina Stefany

Dirección: Urb. Ciudad Santiago Mz.5757 Villa 12

Teléfono: 0960012720 E-mail: [email protected]

Facultad: Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Título al que opta: Ingeniero en Networking y Telecomunicaciones

Profesor guía: Ing. Francisco Álvarez Solís M.Sc.

Título del Proyecto de Titulación: SIMULACIÓN Y ANÁLISIS DE




mailto:[email protected]

XI

2. Autorización de Publicación de Versión Electrónica del Proyecto de

Titulación

A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a

la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de

este Proyecto de titulación.

Publicación electrónica:

Firma Alumno: Montenegro Avata Karina Stefany

3. Forma de envío:

El texto del proyecto de titulación debe ser enviado en formato Word, como

archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen pueden ser:

.gif, .jpg o .TIFF.

Tema del Proyecto de Titulación: SIMULACIÓN Y ANÁLISIS DE




Inmediata X Después de 1 año

DVDROM CDROM

XII

INDICE GENERAL

Contenido

CARTA DE APROBACIÓN DEL TUTOR ..................................................................... III

DEDICATORIA ......................................................................................................... IV

AGRADECIMIENTO .................................................................................................. V

INDICE DE TABLAS ................................................................................................ XIV

INDICE DE GRÁFICOS ............................................................................................. XV

ABREVIATURAS ..................................................................................................... XVI

INTRODUCCIÓN ....................................................................................................... 1

CAPITULO I............................................................................................................... 3

EL PROBLEMA ...................................................................................................... 3

PLANTEAMIENTO DEL PROBLEMA .................................................................. 3

SITUACIÓN CONFLICTO. NUDOS CRÍTICOS ...................................................... 4

CAUSAS Y CONSECUENCIAS DEL PROBLEMA .................................................. 5

ALCANCES DEL PROBLEMA .............................................................................. 7

OBJETIVOS DE LA INVESTIGACIÓN .................................................................. 7

OBJETIVO GENERAL ......................................................................................... 7

OBJETIVOS ESPECÍFICOS .................................................................................. 8

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................................. 8

CAPITULO II.............................................................................................................. 9

MARCO TEÓRICO ................................................................................................. 9

ANTECEDENTES DE ESTUDIO ........................................................................... 9

FUNTAMENTACIÓN TEÓRICA ........................................................................ 11

FUNDAMENTACIÓN SOCIAL .......................................................................... 19

FUNDAMENTACIÓN LEGAL ............................................................................ 20

HIPÓTESIS ...................................................................................................... 24

VARIABLES DE INVESTIGACIÓN ..................................................................... 24

DEFINICIONES CONCEPTUALES ..................................................................... 24

CAPITULO III .......................................................................................................... 26

XIII

METODOLOGÍA DE LA INVESTIGACIÓN ............................................................. 26

DISEÑO DE LA INVESTIGACIÓN ...................................................................... 26

MODALIDAD DE LA INVESTIGACIÓN ............................................................. 26

TIPO DE INVESTIGACIÓN ............................................................................... 26

POBLACIÓN Y MUESTRA ................................................................................ 27

INSTRUMENTOS DE RECOLECCIÓN DE DATOS .............................................. 29

VALIDACIÓN DE LA HIPÓTESIS ....................................................................... 41

CAPITULO IV .......................................................................................................... 42

PROPUESTA TECNOLÓGICA ............................................................................... 42

ANÁLISIS DE FACTIBILIDAD ............................................................................ 42

FACTIBILIDAD OPERACIONAL ........................................................................ 43

FACTIBILIDAD TÉCNICA .................................................................................. 44

FACTIBILIDAD ECONÓMICA ........................................................................... 44

FACTIBILIDAD LEGAL ...................................................................................... 45

ETAPAS DE METODOLOGÍA DEL PROYECTO .................................................. 46

ENTREGABLES DEL PROYECTO ....................................................................... 47

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA ............................................. 47

CRITERIOS DE ACEPTACION DEL PRODUCTO ................................................ 48

CONCLUSIONES.............................................................................................. 50

RECOMENDACIONES ..................................................................................... 51

BIBLIOGRAFÍA ................................................................................................ 52

ANEXOS .......................................................................................................... 53

XIV

INDICE DE TABLAS

Tabla No. 1Causas y Consecuencias ........................................................................ 5

Tabla No. 2 Variables de la investigación .............................................................. 24

Tabla No. 3Cuadro distributivo de la población .................................................... 27

Tabla No. 4Cuadro distributivo de la muestra ...................................................... 28

Tabla No. 5 Resultados de la pregunta 1 .............................................................. 31





Tabla No. 10 Resultados de la pregunta 6 ............................................................ 36




Tabla No. 14 Resultados de la pregunta 10 .......................................................... 40

Tabla No. 15 Costos del Proyecto ......................................................................... 45

Tabla No. 16Criterios de aceptación del producto ............................................... 48

XV

INDICE DE GRÁFICOS

Gráfico No. 1 Cajeros automáticos ....................................................................... 12

Gráfico No. 2 Cajeros automáticos con sistema operativo Windows XP ............. 13

Gráfico No. 3 Tipos de transacciones en los cajeros automáticos ........................ 14

Gráfico No. 4 Partes de un cajero automático ...................................................... 15

Gráfico No. 5 Ataque Jackpotting ......................................................................... 16

Gráfico No. 6 Estructura de los cajeros automáticos ............................................ 18

Gráfico No. 7 Porcentaje de la pregunta 1 ............................................................ 31



Gráfico No. 10 Porcentaje de la pregunta 4 .......................................................... 34



Gráfico No. 13 Porcentaje de la pregunta 7 ......................................................... 37



Gráfico No. 16 Porcentaje de la pregunta 10 ........................................................ 40

Gráfico No. 17 Inicio del Metasploit ..................................................................... 53

Gráfico No. 18 Verificación del servicio de base de datos .................................... 53

Gráfico No. 19 Inicio de Armitage ......................................................................... 54

Gráfico No. 20 Conexión de Armitage con la dirección IP de localhost ................ 54

Gráfico No. 21 Carga de los módulos de Armitage ............................................... 55

Gráfico No. 22 Carga de los módulos de Armitage ............................................... 55

Gráfico No. 23 Activación del Metasploit ............................................................. 56

Gráfico No. 24 Verificación de la conexión de Armitage ...................................... 56

Gráfico No. 25 Estado de conexión ....................................................................... 57

Gráfico No. 26 Escaneo de Puertos con Armitage ................................................ 57

Gráfico No. 27 Asignación de la dirección de red para el escaneo de cajeros

automáticos........................................................................................................... 58

Gráfico No. 28 Cajeros automáticos ..................................................................... 58

Gráfico No. 29 Escaneo de ataques ...................................................................... 59

Gráfico No. 30 Carga de los exploit para el cajero automático ............................ 59

Gráfico No. 31 Activación del exploit ................................................................... 60

Gráfico No. 32 Activación del exploit por medio del navegador .......................... 60

Gráfico No. 33 Cajero automático infectado ........................................................ 61

Gráfico No. 34 Diseño del Ataque Jackpotting ..................................................... 62

Gráfico No. 35 Inicio de las variables .................................................................... 63

Gráfico No. 36 Programación de las funciones del cajero .................................... 63

Gráfico No. 37 Programación de las fases del cajero............................................ 64

Gráfico No. 38 Programación de las siguientes fases ........................................... 64

XVI

Gráfico No. 39 Programación de la fase cuatro y cinco ........................................ 65

Gráfico No. 40 Programación de la fase seis y de eventos ................................... 65

Gráfico No. 41 Programación de los eventos de los botones ............................... 66

XVI

ABREVIATURAS

UG Universidad de Guayaquil

SI Seguridad Informática

ISO Organización de estándares internacionales

CC.MM.FF Facultad de Ciencias Matemáticas y Físicas

ARCOTEL Agencia de Regulación y Control de las Telecomunicaciones

MINTEL Ministerio de Telecomunicaciones

DR DragonJar

XVII




“SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN LOS

CAJEROS AUTOMATICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS EN

LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO MECANISMO

DE TEST DE INTRUSIÓN.”

Autores: Montenegro Avata Karina Stefany

Tutor: Ing. Francisco Álvarez Solís M.Sc.

Resumen

En la actualidad, la tecnología ha ido avanzando y a su vez la inseguridad se

apodera de la misma, es por eso que el factor humano es fundamental ya que si

existe el conocimiento de cómo actuar ante un ataque o como tomar las

medidas de seguridad para mitigar el mismo, los riesgos serían mínimos. El

objetivo principal de este proyecto simular y analizar las vulnerabilidades de los

cajeros automáticos para el ataque Jackpotting utilizando herramienta Armitage.

La metodología a utilizar es de forma cuantitativa, incluyendo encuestas para así

obtener datos estadísticos de cuanta información tienen los usuarios acerca de

las vulnerabilidades que presentan las maquinas transaccionales.

Palabras Claves: Jackpotting, Armitage, cajeros automáticos, Vulnerabilidades,

transaccionales.

XVIII



CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

"SIMULATION AND ANALYSIS OF VULNERABILITIES OF THE SOFTWARE IN THE AUTOMATIC CASHIEROS OF THE FINANCIAL INSTITUTIONS LOCATED IN THE

CITY OF GUAYAQUIL USING JACKPOTTING AS AN INTRUSION TESTING MECHANISM."

Autores: Montenegro Avata Karina Stefany

Tutor: Ing. Francisco Álvarez Solís M.Sc.

Abstract

Currently, technology has been advancing and in turn insecurity is taking over,

which is why the human factor is essential because if there is knowledge of how

to act in an attack or how to take security measures to mitigate the same, the

risks would be minimal. The main objective of this project is to simulate and

analyze the vulnerabilities of ATMs the Jackpotting attack using the Armitage

tool. The methodology to be used is quantitative, including surveys to obtain

statistical data on how much information users have about the vulnerabilities

presented by transactional machines.

Key Words: Jackpotting, Armitage, ATMs, Vulnerabilities, transactional.

1

INTRODUCCIÓN

Los cajeros automáticos se implementaron en el año 1967 con la finalidad de

lograr que los clientes de los banco no realicen sus retiros de dineros

directamente en las ventanillas de las instituciones financieras sino que lo

efectúen mediante el cajero automático. Actualmente millones de personas en el

mundo utilizan a diario los cajeros automáticos para realizar retiros de dinero a

través de tarjetas bancarias para ellos es transparente el hardware y software en

el que transaccionan.

Debido a esto se confirma un creciente robo de cajeros automáticos mediante

métodos no destructivo, ocasionando que el mismo lance dinero en efectivo por

medio de sus ranuras logrando que los atacantes maliciosos se beneficien

explotando las vulnerabilidades de Jackpotting presentes en estos hardware.

Uno de los métodos que son utilizados por los ciberdelincuentes es

desconectando el cable de datos de la red de la institución bancaria para luego

después conectarlo en dispositivo que actúan como un centro falso de

procesamiento de información.

Este dispositivo se utiliza para controlar el retiro de dinero en efectivo realizado

por un cliente con la finalidad de que el atacante envíe comandos al cajero

logrando que el atacante utilice cualquier tipo de tarjeta e ingrese cualquier

código PIN, para luego efectuar el retiro de dinero.

La información en cualquier institución es uno de los elementos de gran

importancia a proteger, resguardar y recuperar ya que se lo denomina un bien

intangible de incalculable valor dentro del mundo de los negocios; por lo tanto la

seguridad de la información permitirá prevenir ataques de personas ajenas a las

instituciones financieras, quienes intentan apoderarse de información vital.

Estas personas son llamadas crackers o ciberdelincuentes. Esta situación se

presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la

2

mayoría de las instituciones, debido al poco interés y baja inversión en

plataformas de seguridad informática que ayuden a incrementar la robustez y el

rendimiento de los sistemas y de la red en general evitando así la perdida de

datos sensibles.

El resultado de la violación de los sistemas informáticos y de la red en general

por parte de los ciberdelincuentes ha provocado pérdidas económicas por

manipulación de la información, afectando el prestigio de ciertas instituciones

financieras a nivel mundial. El análisis de vulnerabilidades en los sistemas de los

cajeros automáticos permitirá descubrir las falencias que poseen, basadas en las

normas PCI puedan mitigar los riesgos ante posibles ataques a sus sistemas de

cajeros automáticos.

A continuación se presentará lo que se desarrollará en cada capítulo del proyecto

de titulación.

Capítulo I: En este capítulo se definirá el planteamiento del problema referente a

los sistemas de cajeros automáticos, las causas y consecuencias del problema, los

objetivos de la investigación y la justificación e importancia del proyecto.

Capítulo II: En este capítulo justificará la investigación del tema propuesto a

través del marco teórico, en donde se detallaran los fundamentos teóricos,

sociales y legales.

Capítulo III: En este capítulo se utilizara la investigación de campo con la

finalidad de recopilar información referente a las vulnerabilidades en los

sistemas de cajeros automáticos por medio de encuestas, entrevistas y la

observación.

Capítulo IV: En este último capítulo se detallaran todos los resultados prácticos

de la investigación mediante un ambiente de prueba y con sus respectivas

conclusiones y recomendaciones.

3

CAPITULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

Ubicación del Problema en un Contexto

Luther George Simjian armenio nacido en Turquía emigró a los Estados Unidos,

con la finalidad aprender sobre el funcionamiento de los objetos tecnológicos en

la cual paso su vida universitaria desarrollando proyectos científicos enfocados

en el campo de la informática, por la cual fue el primer inventor de un cajero

automático. En el año 1939 el inventor registró 20 patentes de un prototipo de

cajero automático. Para entonces vivía en Nueva York, por lo que convenció al

CITICORP para que probaran su invento.[1]

Actualmente los ciberdelincuentes han cambiado la manera de como atacar

remotamente los cajeros automáticos de instituciones financieras, por medio de

la utilización de softwares maliciosos cuyo objetivo es obligar a las maquinas

transaccionales que fallen ocasionando pérdidas económicas que afectan a las

instituciones financieras. Estos números de ataques cibernéticos surgen por las

posibles vulnerabilidades del software, lo cual es un riesgo ante los diversos

ataques que sufren las instituciones financieras. Por lo tanto es importante dar a

conocer los posibles vulnerabilidades, que se pueden presentar en el software de

los sistemas de cajeros automáticos cuando estos son sometidos a mecanismos

de test de intrusión.[2]

Los cajeros automáticos siempre han estado en la mira de los piratas

informáticos. Antes, para atacar un cajero automático se necesitaban

herramientas físicas.

Con el auge de la tecnología, el ataque a los cajeros automáticos evoluciono. Hoy

en día los ciberdelincuentes pueden realizar ataques lógicos que afectan al

4

software como es el caso de ataques por medio de Jackpotting1 sin necesidad de

ocasionar daños físicos alguno en los cajeros automáticos.[3]

SITUACIÓN CONFLICTO. NUDOS CRÍTICOS

Antes esta problemática es importante que las instituciones financieras en

general tomen en consideración los riesgos informáticos que pueden producirse

cuando se tiene desactualizado y sin las necesidades necesarias el software de

los cajeros automáticos razón por lo cual se encuentran expuestos ante ataques

cibernéticos realizados por crackers, hackers, etc., en donde ellos pueden

ocasionar fallos en los sistemas de los cajeros automáticos afectado

económicamente a tales instituciones.

Los fabricantes de los cajeros automáticos creen que los mismos operan en

“condiciones normales” en la cual no poseen errores de funcionamiento. Por lo

tanto, no suele existir un control en la integridad del software, ni soluciones de

antivirus, ni autenticación de la aplicación que envía comandos al dispensador de

efectivo.[2]

La concientización y el desempeño de las actividades y responsabilidades de las

instituciones financieras para disminuir los niveles de fugas de información crítica

son de vital importancia para neutralizar la viabilidad de un atacante malicioso

que intenta obtener el acceso al sistema de los cajeros automáticos, por estos

inconvenientes se propone una solución mediante un ambiente de prueba para

dar a conocer las vulnerabilidades de los cajeros automáticos y los riesgos que se

pueden producir al momento de estar sujetos a un ataque por algún mecanismo

de test de intrusión.

1Jackpotting: Virus informáticos que infecta los sistemas de los cajeros

automáticos.

5

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Tabla No. 1Causas y Consecuencias

Posibles vulnerabilidades del hardware Riesgos permanentes ante posibles

fallos y/o ataques tecnológicos.

Posibles vulnerabilidades del software. Pérdidas económicas e interrupción en

los servicios.

Nuevas amenazas tecnológicas. Actualización e inversión en

mecanismos de seguridad, robustez y

capacitación.

Fuente: Trabajo de Investigación Autores: Karina Montenegro

Delimitación del Problema

• Campo: Hacking Ético.

• Área: Seguridad Informática.

• Aspecto: Aplicaciones de cajeros automáticos.

• Tema: SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL SOFTWARE EN

LOS CAJEROS AUTOMÁTICOS DE LAS INSTITUCIONES FINANCIERAS UBICADAS

EN LA CIUDAD DE GUAYAQUIL UTILIZANDO JACKPOTTING COMO

MECANISMO DE TEST DE INTRUSIÓN.

Formulación del Problema

¿Cuál es la importancia del análisis de vulnerabilidades en el software de los

cajeros automáticos de las instituciones financieras, de hallar los fallos de

seguridad y amenazas presentes en el mismo?

6

Evaluación del Problema

Los aspectos generales de evaluación son los siguientes:

Los aspectos generales de evaluación son los siguientes:

Delimitado: Se emulara el software que utilizan los cajeros automáticos para

analizar sus posibles vulnerabilidades, esta información servirá para dar a

conocer a las instituciones financieras las causas y efectos así como las

recomendaciones necesarias para solventar y mitigar las amenazas.

Claro: Ciertas instituciones financieras no cuentan con un sistema actualizado en

sus cajeros automáticos por la cual estos están sometidos a intrusiones

maliciosas por ciberdelincuentes.

Evidente: Las instituciones financieras tienden a estar actualizados con los

sistemas en los cajeros automáticos pero pese a esto no se encuentran

preparadas para prevenir incidentes de seguridad en los mismos.

Original: El análisis de vulnerabilidades en los sistemas de cajeros automáticos

propuestos demuestra la originalidad ya que las instituciones financieras no

poseen conocimientos sobre los riesgos y amenazas presentes en los cajeros

automáticos.

Factible: El proyecto de titulación a desarrollar referente al análisis de los cajeros

automáticos demuestra la viabilidad en base a los lineamientos propuestos por

las instituciones bancarias por la cual estas no poseen planes de acción que

mantengan los cajeros automáticos protegidos.

Identifica los productos esperados: Los resultados que se generaran durante

análisis de vulnerabilidades en los sistemas de cajeros automáticos por medio de

un ambiente simulado ayudaran a las instituciones financieras a enfocar en las

7

normas PCI para disminuir los niveles de riesgos y amenazas presentes en los


ALCANCES DEL PROBLEMA

Los alcances del proyecto de titulación a desarrollar son:

• Desarrollo de un ambiente de prueba simulando un cajero automático en

una aplicación de JAVA.

• Utilizar de la herramienta Metasploit2 para verificar los riesgos presentes

en las aplicaciones de cajeros automáticos.

• Análisis de los resultados donde se identifiquen las vulnerabilidades en la

aplicación de cajeros automáticos desarrollados en un ambiente de

simulación por medio de la técnica JACKPOTTING utilizando la

herramienta Armitage como mecanismo de test de intrusión.

• Dictaminar recomendaciones utilizando normas de seguridad de la

información para evitar intrusiones maliciosas en los cajeros automáticos.

OBJETIVOS DE LA INVESTIGACIÓN

OBJETIVO GENERAL

Analizar las vulnerabilidades al realizar un simulador del software de los cajeros

automáticos de las instituciones financieras, para evitar los accesos no

autorizados a través de los mecanismos de test intrusión Jackpotting utilizando la

herramienta Armitage.

2Metasploit: Framework utilizado para realizar test de intrusión en redes y

sistemas operativos.

8

OBJETIVOS ESPECÍFICOS

1. Realizar un levantamiento de información de la arquitectura de los

cajeros automáticos de los bancos identificando su funcionamiento.

2. Simular y analizar las vulnerabilidades del software en los cajeros

automáticos utilizando como mecanismos de test de intrusión, simulando

el ataque Jackpotting con la herramienta Armitage.

3. Analizar las vulnerabilidades de la simulación de los cajeros automáticos

utilizando la herramienta Armitage en un ambiente de prueba.

4. Realizar informes detallando los resultados generados por medio del

análisis y simulación de vulnerabilidades en los cajeros automáticos por

medio de Jackpotting como mecanismos de test de intrusión.

5. Recomendar planes de acción basados en las normas de seguridad de la

información que ayude a mitigar las amenazas ante ataques al software

de los cajeros automáticos a través de Jackpotting como mecanismo de

test de intrusión.

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN

Con la simulación y análisis de vulnerabilidades del software en los cajeros

automáticos a través de Jackpotting como mecanismo test de intrusión, se dará a

conocer a las instituciones financieras las posibles debilidades que poseen las

maquinas transaccionales ubicadas en cada punto de la ciudad de Guayaquil.

La seguridad informática consiste en garantizar que los sistemas de cajeros

automáticos estén protegidos mediante procesos de actualizaciones en el

software, implementación de nuevos hardware que posean la robustez para

evitar ataques informáticos con la finalidad de disminuir las pérdidas económicas

y la capacitación del personal de en las instituciones financieras.

9

CAPITULO II

MARCO TEÓRICO

ANTECEDENTES DE ESTUDIO

Según las agencias de la Interpol, Europol y las autoridades de seguridad en

diferentes países, además la intervención de la empresa Kaspersky detalla que

en el año 2013 un grupo de ciberdelincuentes llamado Carbanak que está

conformado por piratas informáticos de origen ruso, ucraniano y chino

produjeron ataques que fueron dirigidos a más de 100 bancos donde el objetivo

principal era el acceso ilícito al sistema de pagos electrónicos y otras

instituciones bancarias ubicadas en más de 30 países. Las intrusiones maliciosas

se habían llevado a cabo en los sistemas de cajeros automáticos donde los

crackers extrajeron una suma de $1000 millones. [4]

Según la firma de seguridad Kaspersky, los crímenes digitales se produjeron en

varios movimientos con una duración de 2 a 4 meses respectivamente, es el

tiempo que se tomaron los atacantes maliciosos en infectar un ordenador de una

red bancaria hasta obtener acceso a los fondos del cajero automático logrando la

sustracción de $10 millones durante la realización de algunas intrusiones

malintencionadas.[2]

Según la firma The New York Time indica que la banda Carbanak utilizaba el tipo

de ataque Botnet para la búsqueda de vulnerabilidades en sistemas informáticos

de instituciones bancarias y luego explotarlas produciendo perdidas de los

activos en las entidades financieras.[3]

10

Japón país asiático se llevó a cabo uno de los robos más grandes de la historia de

la seguridad informática. Según Eduardo Marín especialista en ciberseguridad

menciona que un grupo de piratas informáticos lograron sustraer una cantidad

equivalente a 12,7 millones de dólares retirando dinero en más de 1400 cajeros

automáticos ubicados en todo el país.[4]

Los sistemas operativos desactualizados o un complejo acceso al depósito o

dispensador de billetes a personas que realizan transacciones bancarias pero de

forma sencilla es el acceso desde un ordenador son alguna de las

vulnerabilidades que presentan los cajeros automáticos en la cual los

ciberdelincuentes utilizan sus conocimientos informáticos con el fin de que el

equipo transaccional pueda expulsar dinero en efectivo por medio de sus ranuras

una vez que se encuentre infectado por una botnet. Así lo afirma Olga Kotechova

especialista en pruebas de test de penetración de la firma de seguridad

KasperskyLab durante el congreso de Security Analyst Summit 2016, donde ella

demostró que los sistemas implementados en los cajeros automáticos poseen

fallos de seguridad cuando son explotados por medio de ataques Jackpotting

produciendo el riesgos que estos hardware dispensen billetes de forma

descontrolada.[5]

La empresa de antivirus KasperskyLab ha recopilado cinco puntos críticos que

demuestran la facilidad en que atacantes maliciosos puedan explotar las

falencias de seguridad presentes en los cajeros automáticos:

1. Un cajero automático está compuesto por subsistemas electrónicos en la

cual integran controladores industriales. Sin embargo, tras los terminales

existe un ordenador que controla el sistema del equipo que en algunos de

los casos el software esta desactualizado.

2. Alguno de los cajeros automáticos funcionan con sistema operativo

Windows XP, hoy en la actualidad el soporte para estos sistemas por

11

parte del fabricante esta descontinuado, exponiendo cualquier

vulnerabilidad presente a los piratas informáticos.

3. Los fabricantes de los terminales de cajeros automáticos no toman en

consideración amenazas informáticas a las que estarían estos equipos.

4. Los sistemas de cajeros automáticos cuentan con un software vulnerable

con más de 9000 bugs conocidas.

5. Los módulos de los cajeros automáticos suelen estar conectados con

interfaces estándar a través de puertos USB, COM (Puerto Serial)

FUNTAMENTACIÓN TEÓRICA

Cajeros automáticos

Un cajero automático es un ordenador que cumple la funcionalidad de expender

dinero al usuario que posee una cuenta bancaria por medio de una tarjeta

emitida por la entidad financiera y solicitada por el cliente. Los cajeros

automáticos integran impresoras matriciales o impresoras térmicas para la

impresión de recibos en base a la operación transaccional que efectúan los

clientes de instituciones financieras, además estos conjuntos de computadores

son conectados a múltiples base de datos por medio de la red para

proporcionarle a los usuarios corporativos y residenciales la facilidad de realizar

retiro de dinero en cualquier cajero automático sin la necesidad de tener una

cuenta en un banco especifico.[6]

Los cajeros automáticos cumplen con las siguientes operaciones que se

mencionan a continuación:

• Extracción de dinero efectivo mediante una tarjeta de débito o crédito.

• Solicitud de cambio de contraseña que el cajero le sugiere al cliente.

• Depósitos de dinero en efectivo a diferentes cuentas bancarias.

• Pagos de servicios básicos.

12

• Recargas de teléfonos celulares de todas las operadoras.

Tipos de cajeros automáticos

Los cajeros automáticos se clasifican de la siguiente manera:

• Cajeros automáticos full: Son aquellos que permiten extraer dinero en

efectivo y realizar depósitos a diferentes cuentas bancarias sin la

necesidad de que las personas hagan cola en una institución financiera.

• Cajeros automáticos cash: Los cajeros automáticos cash son aquellos que

no permiten la realización de depósitos pero se los denomina cajeros

extra bancarios en la cual van acompañados por un full. Estos cajeros

suelen estar en supermercados, estaciones de servicio, etc.

Gráfico No. 1 Cajeros automáticos

Fuente: http://www.missionatm.com/cajero-automatico-en-mexico/

Autor: ATM

http://www.missionatm.com/cajero-automatico-en-mexico/

13

Cajeros automáticos con sistemas operativos Windows XP

Según un comunicado por Joaquín Alviz detalla que el 8 de abril del año 2013 la

empresa tecnológica Microsoft deja de proporcionar soporte para Windows XP

obligando a las instituciones bancarias a implementar nuevos cajeros

automáticos con el objetivo de proteger la información del usuario y de los

bancos, logrando mitigar las vulnerabilidades expuestas en el sistema Windows

XP.[7]

La compañía Microsoft llevaba un periodo de 10 años brindando soporte a las

empresas bancarias alcanzando obtener una disponibilidad en el sistema

informático implementado en los cajeros para que los clientes de los bancos

puedan seguir efectuando transacciones en red.[9]

Gráfico No. 2 Cajeros automáticos con sistema operativo Windows XP

Fuente: https://clipset.20minutos.es/microsoft-entierra-windows-xp-y-los-

cajeros-automaticos-temen-por-su-seguridad/ Autor: Joaquín Alviz

Tipos de transacciones realizadas en los cajeros automáticos Los tipos de transacciones disponibles en los cajeros automáticos son las

siguientes:

https://clipset.20minutos.es/microsoft-entierra-windows-xp-y-los-cajeros-automaticos-temen-por-su-seguridad/

https://clipset.20minutos.es/microsoft-entierra-windows-xp-y-los-cajeros-automaticos-temen-por-su-seguridad/

14

• Transacciones por cuenta corriente

• Transacciones por cuenta de ahorro.

• Depósitos de dinero en efectivo.

• Depósitos en cheque.

Gráfico No. 3 Tipos de transacciones en los cajeros automáticos

Fuente: https://www.bancocajasocial.com/como-hacer-transacciones-en-

cajeros-multifuncional-amigo Autor: Banco Caja Social

Partes de un cajero automático

A continuación, se definirá las siguientes partes de un cajero automático:

• Lector de tarjetas: Los lectores de tarjetas implementados en los cajeros

automáticos cumplen la función de capturar el tipo de tarjeta sea de

débito o de crédito para después proceder a leer la información del

https://www.bancocajasocial.com/como-hacer-transacciones-en-cajeros-multifuncional-amigo

https://www.bancocajasocial.com/como-hacer-transacciones-en-cajeros-multifuncional-amigo

15

cliente almacenado en el chip o en la banda magnética que se encuentra

ubicada en la parte trasera de la tarjeta.

• Ranura de recibo: Esta ranura cumple con la función de expender el

recibo al cliente con los datos de la transferencia después de realizar la

transacción en el cajero automático.

• Ojo electrónico: Este ojo electrónico cumple con la funcionalidad de

contar el dinero que solicita el usuario antes de ser entregado al mismo y

otro sensor integrado en los cajeros automáticos evalúa el grosor del

papel del billete identificando los daños en él para después retenerlos.

• Teclado: Con este dispositivo el cliente puede ingresar la contraseña de

acceso a su cuenta de ahorro o corriente para poder efectuar la

transacción.

• Pantalla: Con esto el cliente visualiza las opciones para poder realizar la

transacción.

• Botones de la pantalla: Con esto el cliente selecciona las opciones para

realizar una transacción o retiro de dinero en efectivo.

Gráfico No. 4 Partes de un cajero automático

Fuente: https://codigopgt.wordpress.com/2008/03/05/como-funciona-un-cajero-

automatico/

Autor: Pedro Guillermo

https://codigopgt.wordpress.com/2008/03/05/como-funciona-un-cajero-automatico/

https://codigopgt.wordpress.com/2008/03/05/como-funciona-un-cajero-automatico/

16

Ataque Jackpotting

Jackpotting es un malware o código malicioso que es utilizado por los piratas

informáticos para extraer dinero de los cajeros automáticos por medio de sus

dispensadores, tomando el control de algunos de los componentes del cajero

tales como:

• Lector de tarjetas.

• Dispensador de dinero.

• PIDPAD.

Con estos elementos bajo control del atacante cibernético, este posee la

capacidad de sustraerse cantidades altas de dinero sin la necesidad de utilizar

tarjetas de débito o crédito.

Gráfico No. 5 Ataque Jackpotting

Fuente: http://securityaffairs.co/wordpress/29811/cyber-crime/uk-crooks-stole-1-6m-

atms.html

Autor: Pierluigi Paganini

http://securityaffairs.co/wordpress/29811/cyber-crime/uk-crooks-stole-1-6m-atms.html

http://securityaffairs.co/wordpress/29811/cyber-crime/uk-crooks-stole-1-6m-atms.html

http://securityaffairs.co/wordpress/author/paganinip

17

Modos de funcionalidad del ataque Jackpotting por medio del software ALICE

• Los piratas informáticos acceden a la CPU central del cajero automático

vulnerando el cuadro superior utilizando llaves que abren la tapa

delantera del cajero.

• Una vez realizado el proceso anterior acceden a las unidades USB o a la

unidad de CD-ROM con el objetivo de infectar el cajero automático con el

malware ALICE.

• ALICE es un archivo ejecutable que se lanza de forma manual en la cual se

oculta reemplazando el binario legítimo de Windows Task Manager

(taskmgr.exe). Antes de lanzar el código malicioso, lleva a cabo algunas

pruebas de comprobación para asegurarse de que se está ejecutando en

un entorno XFS (Extensions for Financial Services) adecuado, es decir, que

se está ejecutando en un cajero real, con independencia de su marca y

modelo.

• Una vez incrustado el malware ALICE, procede a tomar el control del

cajero automático desplegando un GUI personalizado y solicitando un

código de autorización para garantizar el control del dispensador del

cajero.

• Una vez ejecuta el malware ALICE se otorga la autorización y se utiliza

una API de XFS para interactuar con el dispensador del cajero

permitiendo lanzar múltiples comandos de dispensación logrando a una

fase de que la caja del cajero quede totalmente vacía.

• Para finalizar el proceso de ataque ALICE utiliza un mecanismo de

limpieza y desinstalación con el fin de eliminar cualquier inicio de

intrusión.

18

MEDIDAS DE SEGURIDAD EN CAJEROS AUTOMÁTICOS

Actualmente los cajeros automáticos ATM son utilizados por las personas para

realizar múltiples transacciones, estos se encuentran expuestos a amenazas que

pueden ser aprovechadas por los atacantes maliciosos para efectuar intrusiones

maliciosas en beneficio propio logrando aumentar los índices de ataques

informáticos por la desactualización de los cajeros.[10]

La gran mayoría de los cajeros automáticos de marca ATMs, funcionan con

sistema operativo Windows XP y 7, en la cual estas plataformas ya no cuentan

con licencia y soporte debido a estos inconvenientes los cajeros se convierte en

un blanco fácil de los piratas informáticos con el objetivo de atentar a la

confidencialidad de la información, el 1% de las instituciones financieras del

mundo poseen equipos dispensadores de dinero que funcionan bajo el sistema

operativo Linux (SUSE) lo que cual poseen una robustez ante ataques Jackpotting

disminuyendo asi los niveles de riesgos y amenazas expuestos en estos

dispositivos.[10]

A continuación se presentará una estructura de los cajeros automáticos:

Gráfico No. 6 Estructura de los cajeros automáticos

Fuente: http://www.securitybydefault.com/2015/09/introduccion-seguridad-de-

cajeros.html Autor: Trabajo de Investigación

http://www.securitybydefault.com/2015/09/introduccion-seguridad-de-cajeros.html

http://www.securitybydefault.com/2015/09/introduccion-seguridad-de-cajeros.html

19

Las medidas de seguridad que son aplicables al proyecto son las siguientes:

• Cifrado de comunicaciones por medio de redes privadas virtuales VPN.

• Cifrado de disco.

• Protección del BIOS.

• Configuración de nuevos componentes.

• Aplicación de estándares Payment Card Industry.

• Compra de soluciones de antivirus, antimalware y listas blancas.

• Gestión de parches.

• Correlación de eventos.

• Políticas de seguridad de Windows.

• Gestión de contraseñas.

• Restricción de accesos.

• Protección de llaves de acceso al software.

• Actualizaciones del sistema operativo Windows.

• Dispositivos Anti-Skimming.

• Identificación del personal que tiene acceso.

FUNDAMENTACIÓN SOCIAL

El proyecto consiste en dar a conocer las vulnerabilidades presentes en los

sistemas de cajeros automáticos en algunas instituciones bancarias, por medio

de la intrusión Jackpotting. Además, esta propuesta determinará un impacto de

las posibles pérdidas financieras y de información que ha podido tener algunos

de los bancos por la falta de actualización de sus cajeros automáticos que

quedan ubicados en gasolineras, centros comerciales y cafeterías. Esta intrusión

en mención definirá los componentes que se deben utilizar para la simulación del

ataque a un sistema de un cajero automático con el objetivo de detectar el grado

de vulnerabilidad expuesto.

20

FUNDAMENTACIÓN LEGAL

CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR

Sección novena

De la ciencia y tecnología

Art. 80.- El Estado fomentará la ciencia y la tecnología, especialmente en todos

los niveles educativos, dirigidas a mejorar la productividad, la competitividad, el

manejo sustentable de los recursos naturales, y a satisfacer las necesidades

básicas de la población.

Garantizará la libertad de las actividades científicas y tecnológicas y la protección

legal de sus resultados, así como el conocimiento ancestral colectivo.

La investigación científica y tecnológica se llevará a cabo en las universidades,

escuelas politécnicas, institutos superiores técnicos y tecnológicos y centros de

investigación científica, en coordinación con los sectores productivos cuando sea

pertinente, y con el organismo público que establezca la ley, la que regulará

también el estatuto del investigador científico.

CÓDIGO ORGÁNICO INTEGRAL PENAL

SECCIÓN TERCERA

Delitos contra la seguridad de los activos de los sistemas de información y

comunicación

Artículo 229.- Revelación ilegal de base de datos: La persona que, en provecho

propio o de un tercero, revele información registrada, contenida en ficheros,

archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema

21

electrónico, informático, telemático o de telecomunicaciones; materializando

voluntaria e intencionalmente la violación del secreto, la intimidad y la

privacidad de las personas, será sancionada con pena privativa de libertad de

uno a tres años.

Si esta conducta se comete por una o un servidor público, empleadas o

empleados bancarios internos o de instituciones de la economía popular y

solidaria que realicen intermediación financiera o contratistas, será sancionada

con pena privativa de libertad de tres a cinco años.

Artículo 231.- Transferencia electrónica de activo patrimonial: La persona que,

con ánimo de lucro, altere, manipule o modifique el funcionamiento de

programa o sistema informático o telemático o mensaje de datos, para

procurarse la transferencia o apropiación no consentida de un activo patrimonial

de otra persona en perjuicio de esta o de un tercero, será sancionada con pena

privativa de libertad de tres a cinco años.

Con igual pena, será sancionada la persona que facilite o proporcione datos de su

cuenta bancaria con la intención de obtener, recibir o captar de forma ilegítima

un activo patrimonial a través de una transferencia electrónica producto de este

delito para sí mismo o para otra persona.

Artículo 232.- Ataque a la integridad de sistemas informáticos: La persona que

destruya, deteriore, borre, suspenda, trabe, cause mal funcionamiento,

comportamiento no deseado o suprima datos informáticos, mensajes de correo

electrónico, de sistemas de tratamiento de información, telemático o de

telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen,

será sancionada con pena privativa de libertad de tres a cinco años.

22

Con igual pena será sancionada la persona que:

1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda

o distribuya de cualquier manera, dispositivos o programas informáticos

maliciosos o programas destinados a causar los efectos señalados en el

primer inciso de este artículo.

2. Destruya o altere sin la autorización de su titular, la infraestructura

tecnológica necesaria para la transmisión, recepción o procesamiento de

información en general.

Si la infracción se comete sobre bienes informáticos destinados a la prestación

de un servicio público o vinculado con la seguridad ciudadana, la pena será de

cinco a siete años de privación de libertad.

Artículo 234.- Acceso no consentido a un sistema informático, telemático o de

telecomunicaciones.- La persona que sin autorización acceda en todo o en parte

a un sistema informático o sistema telemático o de telecomunicaciones o se

mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo

derecho, para explotar ilegítimamente el acceso logrado, modificar un portal

web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que

estos sistemas proveen a terceros, sin pagarlos a los proveedores de servicios

legítimos, será sancionada con la pena privativa de la libertad de tres a cinco

años.

23

LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE

DATOS

Art. 5.- Confidencialidad y reserva: Se establecen los principios de

confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma,

medio o intención. Toda falta a estos principios, especialmente aquellas referidas

a la intrusión electrónica, transferencia ilegal de mensajes de datos o

incumplimiento del secreto profesional, será sancionada conforme a lo dispuesto

en esta Ley y demás normas que rigen la materia.

Art. 9.- Protección de datos: Para la elaboración, traspaso o utilización de bases

de datos, elaboradas directa o indirectamente del uso o transmisión de mensajes

de datos, se requerirá el consentimiento expreso del titular de éstos, quien

podrá seleccionar la información a compartirse con terceros.

La recopilación y uso de datos personales responderá a los derechos de

privacidad, intimidad y confidencialidad garantizados por la Constitución Política

de la República y esta ley, los cuales podrán ser utilizados o transferidos

únicamente con autorización del titular u orden de autoridad competente.

No será preciso el consentimiento para recopilar datos personales de fuentes

accesibles al público, cuando se recojan para el ejercicio de las funciones propias

de la administración pública, en el ámbito de su competencia, y cuando se

refieran a personas vinculadas por una relación de negocios, laboral,

administrativa o contractual y sean necesarios para el mantenimiento de las

relaciones o para el cumplimiento del contrato.

24

HIPÓTESIS

1. ¿Considera usted que al ejecutar un ataque por test intrusión a los

cajeros automáticos pertenecientes a su institución financiera, podrá

identificar los fallos de seguridad presentes en su infraestructura lógica?

2. ¿Considera que las normas PCI determinara lineamientos para disminuir

las vulnerabilidades en los cajeros automáticos?

3. ¿El ataque Jackpotting puede causarle problemas con la información de

sus clientes bancarios?

VARIABLES DE INVESTIGACIÓN

Tabla No. 2 Variables de la investigación

Tipo de Variable

Variable

Independiente Ataques por Test Intrusión.

Dependiente

Seguridad de cajeros

automáticos.

Fuente: Trabajo de Investigación Autores: Karina Montenegro

DEFINICIONES CONCEPTUALES

Hardware: Conjunto de elementos físicos o materiales que constituyen una

computadora o un sistema informático.

Software: Conjunto de programas o rutinas que permiten a una computadora

realizar tareas específicas.

25

Electrónica: Parte de la física que estudia los cambios de los electrones libres y la

acción de las fuerzas electromagnéticas en la cual se las utiliza en dispositivos

que transmiten información.

Teclado: Conjunto de teclas de un instrumento musical, de una computadora o

de cualquier dispositivo que sea utilizado por un usuario para digitar un conjunto

de textos.

Monitor: Pantalla del ordenador que muestra datos o información al usuario.

Ranura: Hendidura o un canal largo y estrecho que se abre en un cuerpo solido

con diversos fines, como hacer un embalaje o guiar piezas movibles.

Alice: Es un programa del computador actúa maliciosamente alterando el

sistema operativo del cajero automático consiguiendo el dinero en efectivo.

CD-ROM: Es un periférico que sirve para leer datos.

CPU: Es la unidad donde se procesan los datos.

Windows Task Manager: Es un software que sirve para monitorear las tareas

que se están ejecutando.

26

CAPITULO III

METODOLOGÍA DE LA INVESTIGACIÓN

DISEÑO DE LA INVESTIGACIÓN

MODALIDAD DE LA INVESTIGACIÓN

La modalidad de la investigación destinada al desarrollo del proyecto referente al

análisis de vulnerabilidades en los sistemas de cajeros automáticos será la de

proyecto factible enfocándose en la recopilación de datos y revisión del material

bibliográfico.

TIPO DE INVESTIGACIÓN

Para el desarrollo del proyecto se emplearán dos tipos de investigación que son

las siguientes: investigación campo y documental, como punto de partida se

requiere tener conocimientos de los cajeros automáticos enfocándose en sus

funciones, ventajas, desventajas, tipo de arquitectura computacional y sistema

operativo instalado, con el objetivo de poder realizar un análisis de

vulnerabilidades mediante un ambiente de simulación aplicando herramientas

de código abierto.

En cuanto al trabajo de campo se consultó con tres instituciones bancarias que

son las siguientes: Banco de Guayaquil, Banco Bolivariano y Banco del Pichincha,

con el objetivo de recopilar información referente a sus cajeros automáticos

ubicados en farmacias, gasolineras, cafeterías y centros comerciales, una vez

recopilada la información de estos hardware se procederá a realizar el ambiente

de prueba utilizando el sistema operativo Kali Linux y la herramienta Java.

27

POBLACIÓN Y MUESTRA

La investigación sobre el análisis de vulnerabilidades en los sistemas de cajeros

automáticos se la realizara en las tres instituciones bancarias que son: Banco de

Guayaquil, Banco Bolivariano y Banco del Pichincha a un total de 600 personas

que participaran en el proceso de recopilación de información sobre estos

dispositivos.

A continuación se mostrara una tabla del cuadro distributivo de la población

sobre las personas que participaron en la recolección de datos.

Tabla No. 3Cuadro distributivo de la población

Población Cantidad

Banco de Guayaquil 150

Banco Bolivariano 150

Banco del Pichincha 300

Total 600

Fuente: Trabajo de Investigación Autora: Karina Montenegro

Muestra

En el proceso del planteamiento de la muestra se toma en consideración a una

parte de la población equivalente a 600 personas que laboran en las tres

instituciones bancarias en mención, para proceder con el cálculo de la muestra

se utilizara la siguiente fórmula que se mostrara a continuación.

Calculo de la muestra

n =𝑚

𝑒2(m − 1) + 1

• M = Tamaño de la población (600)

28

• E = Error de estimación (0.06)

• N = Tamaño de la muestra (190)

n =600

(0.06)2(600 − 1) + 1

n =600

(0.0036)(599) + 1

n =600

2.1564 + 1

n =600

3.1564

n = 190.09

n = 190 personas a encuestar

Tabla No. 4Cuadro distributivo de la muestra

Población Cantidad

Banco de Guayaquil 100

Banco Bolivariano 40

Banco del Pichincha 50

Total 190


29

INSTRUMENTOS DE RECOLECCIÓN DE DATOS

Técnica e instrumentos

Las técnicas que se aplicaran el presente proyecto de titulación en fase de

desarrollo son las observaciones y las encuestas que son dirigidas a una muestra

representativa equivalente a 190 usuarios de las tres instituciones en mención.

Se realizó encuestas al departamento de sistemas de las tres instituciones

bancarias para determinar la viabilidad del proyecto con el objetivo de

demostrar las vulnerabilidades de los cajeros automáticos mediante un ambiente

de prueba.

Para el proceso de observación se expondrán evidencias de los cajeros

automáticos desactualizados de las tres instituciones bancarias en mención con

la finalidad de demostrar de manera evidenciada las desactualizaciones de estos

dispositivos implementados en los Bancos.

Recolección de la información

Para el proceso de recolección de la información se encuestó a 100 personas del

departamento de sistemas del Banco de Guayaquil, 40 del Banco Bolivariano y 50

del Banco del Pichincha con el objetivo de recopilar la mayor cantidad de

información referente a los cajeros automáticos instalados en farmacias,

gasolineras y centros comerciales.

A continuación, se describirán los siguientes puntos de las encuestas.

• Se diseñaran un total de 10 preguntas.

30

• Las respuestas de cada pregunta se las tabulara en Microsoft Excel

utilizando gráficos de pastel.

• Las opciones de respuestas de cada pregunta son de múltiples opciones.

31

Análisis de las encuestas

1. ¿Usted como entidad bancaria cuántos cajeros automáticos posee en la

ciudad de Guayaquil?

Tabla No. 5 Resultados de la pregunta 1

Ítems Alternativas Conteo Porcentaje

1 10 cajeros 20 11%

2 20 cajeros 10 5%

3 30 a 50 cajeros 70 37%

4 80 a 100 cajeros 40 21%

5 100 o más 50 26%

Total 190 100%


Gráfico No. 7 Porcentaje de la pregunta 1

Fuente: Trabajo de Investigación

Autora: Karina Montenegro

Análisis: Durante la encuesta realizada se verifico que el 37% de los empleados

del departamento de sistemas de las tres entidades bancarias poseen cajeros

automáticos en farmacias, gasolineras y centros comerciales.

11%5%

37%21%

26%

1 10 cajeros 2 20 cajeros 3 30 a 50 cajeros

4 80 a 100 cajeros 5 100 o más

32

2. ¿Qué porcentaje de los cajeros automáticos utilizan en su sistema

operativo Windows XP?



1 Mayor al 20% 20 11%

2 Entre el 30% y el 50% 90 47%

3 Menor al 70% 30 16%

4 Todas las Anteriores 50 26%

Total 190 100%






del departamento de sistemas de las tres entidades bancarias detallan que los

cajeros automáticos que poseen Windows XP están entre el 30% y el 50%

respectivamente.

11%

47%16%

26%

1 Mayor al 20% 2 Entre el 30% y el 50%

3 Menor al 70% 4 Todas las Anteriores

33

3. ¿Qué tipo de servicios proporcionan los cajeros automáticos?



1 Depósitos en efectivo 70 37%

2 Depósitos en cheque 50 26%

3 Retiros 40 21%

4 Otros tipos de transacciones 30 16%

Total 190 100%






del departamento de sistemas de las tres entidades bancarias detallan que los

cajeros automáticos solamente realizan retiros solicitados por los clientes

bancarios.

37%

26%

21%

16%

1 Depósitos en efectivo 2 Depósitos en cheque

3 Retiros 4 Otros tipos de transacciones

34

4. ¿Conoce usted el ataque Jackpotting y Metasploit?



1 SI 100 53%

2 He escuchado 50 26%

3 NO 40 21%

Total 190 100%






del departamento de sistemas de las tres entidades bancarias mencionan que

conocen los ataques Jackpotting y Metasploit.

53%

26%

21%

1 SI 2 He escuchado 3 NO

35

5. ¿Sabía usted los sistemas de cajeros automáticos pueden ser

vulnerables al ataque Jackpotting de test de intrusión?



1 Si sabía pero solo son en cajeros automáticos

desactualizados.

100 53%

2 Si sabía un poco. 50 26%

3 Si sabía, pero solo eran en cajeros automáticos

ubicados en otras partes del mundo.

30 16%

4 No, sabia 10 5%

Total 190 100%






del departamento de sistemas de las tres entidades si sabían que los cajeros

automáticos desactualizados son vulnerables al ataque Jackpotting.

53%

26%

16% 5%

1 Si sabía pero solo son en cajeros automáticosdesactualizados.

2 Si sabía un poco.

3 Si sabía pero solo eran en cajeros automáticosubicados en otras partes del mundo.

36

6. ¿Usted como entidad bancaria sus cajeros automáticos han estado

sometido a un ataque informático?



1 Si, Algunas veces 40 21%

2 Si, frecuentemente 30 16%

3 Si, Constantemente 100 53%

4 No, Nunca 20 10%

Total 190 100%






del departamento de sistemas de las tres entidades detallan que los cajeros

automáticos han estado sometidos a un ataque informático.

21%

16%

53%

10%

1 Si, Algunas veces 2 Si, frecuentemente

3 Si, Constantemente 4 No, Nunca

37

7. ¿Estaría de acuerdo que se realicen auditorías de seguridad informática

para la detección de posibles vulnerabilidades expuestas en dichos

cajeros?



1 SI 150 79%

2 NO 40 21%

Total 190 100%






del departamento de sistemas de las tres entidades detallan que si están de

acuerdo que se realicen auditorías de seguridad informática para la detección de

las posibles vulnerabilidades.

79%

21%

SI NO

38

8. ¿Está de acuerdo que se implementen actualizaciones en los sistemas

de cajeros automáticos para evitar intrusiones maliciosas?



1 SI 150 79%

2 NO 40 21%

Total 190 100%






del departamento de sistemas de las tres entidades detallan que si están de

acuerdo que se implementen actualizaciones en los sistemas de cajeros

automáticos.

79%

21%

SI NO

39

9. ¿Cree usted que al no tomar en consideración las posibles

vulnerabilidades expuestas en los cajeros automáticos se pueden

producir riesgos de pérdida de información sensible?



1 SI 170 89%

2 NO 20 11%

Total 190 100%





Análisis: Durante la encuesta realizada se verificó que el 89% de los empleados

del departamento de sistemas de las tres entidades detallan que al no tomar en

consideración las posibles vulnerabilidades expuestas en los cajeros automáticos

se producen riesgos de información sensible.

89%

11%

SI NO

40

10. ¿Usted como entidad bancaria posee el personal con experiencia en la

rama de seguridad informática que se encuentre capacitado ante

incidentes de seguridad basados en ataques Jackpotting?



1 SI, Poseo 20 11%

2 NO, Poseo 170 79%

Total 190 100%





Análisis: Durante la encuesta realizada se verificó que el 89% de los empleados

del departamento de sistemas de las tres entidades detallan que no poseen un

personal con mayor experiencia en la rama de seguridad informática.

11%

89%

SI, Poseo NO, Poseo

41

VALIDACIÓN DE LA HIPÓTESIS

Durante la realización de la encuesta se verificó que las tres instituciones

bancarias no poseen un personal con alta experiencia en la rama de seguridad

informática, también ellos están de acuerdo que se realicen auditorias de

seguridad informática para poder tener un conocimiento de las posibles

vulnerabilidades presentes en los cajeros automáticos, además ellos están de

acuerdo que se realicen actualizaciones en los sistemas informáticos de estos

dispositivos empotrados con el objetivos de mitigar los posibles riesgos

presentes en cada vulnerabilidad detectada, mediante estos inconveniente ellos

requieren que se realice un análisis que permite identificar el grado del fallo de

seguridad observado con la finalidad de diseñar un plan de contingencia basado

en las normas PCI para tener protegida la información sensible de las entidades

bancarias.

42

CAPITULO IV

PROPUESTA TECNOLÓGICA

La idea principal del proyecto de titulación es la de explicar a las tres

instituciones bancarias mencionada en capítulos anteriores los riesgos que

pueden producirse al no tener actualizados los cajeros automáticos y que tipos

de amenazas se pueden presentar cuando los piratas informáticos utilicen la

intrusión Jackpotting para realizar modificaciones de ciertas funcionalidades de

los cajeros con el objetivo de sustraer dinero físico almacenado en estos

hardware.

Este proyecto se basa en desarrollar una aplicación de cajero automático en el

lenguaje de programación Java configurando las funciones actuales de los cajeros

automáticos una vez realizado este proceso se procede a iniciar con el ataque

Jackpotting y el Metasploit para identificar los riesgos que se producen en cada

vulnerabilidad detectada mediante un ambiente de simulación.

ANÁLISIS DE FACTIBILIDAD

Conociendo que el tema de las vulnerabilidades expuestas en los cajeros

automáticos en el Ecuador es netamente nuevo, debido a estos motivos se

denomina factible el desarrollo de la propuesta ya que existen antecedentes de

otras instituciones bancarias ubicadas en otros países que han sido vulneradas

por los piratas informáticos en beneficio propio, profesionales de ciberseguridad

han hecho público estos fallos de seguridad presentes en los sistemas de cajeros

automáticos con la finalidad de prevenir a las instituciones financieras este tipo

de sucesos.

Para el desarrollo del proyecto se selecciono información de gran utilidad

mediante técnicas de instrumentación de datos, con el objetivo de crear un

43

ambiente de prueba basándose en los requerimientos propuestos por las tres

entidades bancarias a las que se le realizó la encuesta.

Este proyecto ofrece una puerta abierta a la ejecución de auditorías de seguridad

informática con la finalidad de diseñar planes de prevención para evitar la

perpetuación del ataque Jackpotting.

FACTIBILIDAD OPERACIONAL

Enfocándose en los requerimientos de las entidades financieras se determina

que la propuesta es factible operacionalmente por la cual se utilizará

herramientas de código abierto y de fácil manejo, además, el proyecto se lo

realizará en un ambiente de simulación demostrando las vulnerabilidades y

amenazas a que pueden estar expuestos los bancos por la no toma de

consideración de estos fallos de seguridad.

Los especialistas informáticos que laboran en el departamento de sistema de

cada institución bancaria en mención requieren que se realicen pruebas de

laboratorio para determinar los tipos de riesgos que se produce al realizar la

intrusión Jackpotting por medio de la aplicación desarrollada en Java y el sistema

operativo Kali Linux.

La aplicación desarrollada en programación en Java que permitirá demostrar las

funcionalidades de un cajero automático desactualizado y su modo de operación,

además esta aplicación se completara con el sistema operativo Kali Linux para

realizar las pruebas de ataque detallando el modo de penetración del

Jackpotting.

44

FACTIBILIDAD TÉCNICA

Mediante el estudio de factibilidad técnica identificaremos los recursos de

hardware y software para la implementación del proyecto con el objetivo de

tener claro el enfoque que se desea realizar.

A continuación, los siguientes recursos computacionales, que serán utilizados

para el desarrollo del proyecto:

• Computadora Laptop con procesador core i3

• Sistema Operativo Kali Linux.

• Aplicativo de Java Netbeans para el desarrollo de la aplicación de cajero

automático.

Para el desarrollo del proyecto se consideró el IDE de Netbeans por la cual este

programa posee las cualidades de realizar conexiones basadas en Sockets,

canales de comunicación, conexiones con múltiples bases de datos y demás

funcionalidades.

Mediante el proceso de implementación del proyecto con la herramienta

Netbeans podemos realizar pruebas demostrando las funciones de un cajero

automático desactualizado y con el sistema operativo Kali Linux se simula el

ataque Jackpotting en la cual permitirá acceder a la aplicación de cajero

automático.

FACTIBILIDAD ECONÓMICA

La factibilidad económica del proyecto cosiste en los gastos que se generaran

durante el desarrollo del mismo, además incluye los que son gastos de

transportación y alimentación. A continuación, se indicará en la siguiente tabla

los costos del proyecto en base a su implementación dentro del ambiente de

simulación y requerimientos propuestos por las instituciones bancarias.

45

Tabla No. 15 Costos del Proyecto

Descripción Costo total

Computadora Laptop con procesador

Core i3.

$ 700

Servicio de Internet $ 25

Trasportación $ 100

Alimentación $ 100

Gastos de Oficina $ 50

Otros Gastos $ 50

Total $ 1025


Debido a estos gastos que se genera en el desarrollo del proyecto se lo denomina

factible económicamente por la cual se utilizaran herramientas de código abierto

y el costo se ajusta a los requerimientos propuestos por el desarrollador.

FACTIBILIDAD LEGAL

La factibilidad legal del proyecto consiste en que la propuesta se ajuste a los

lineamientos y artículos establecidos por cada ley implementada por el Gobierno

Ecuatoriano, además este proyecto no viola ni vulnera las leyes vigentes de la

república del Ecuador por la cual el mismo se base en demostrar las

vulnerabilidades de los sistemas de cajeros automáticos por medio de un

ambiente de prueba.

46

ETAPAS DE METODOLOGÍA DEL PROYECTO

La metodología aplicable al proyecto es la metodología AGILE en la cual el mismo

cumple con las siguientes fases o etapas que conllevan al desarrollo y

terminación de la propuesta.

Fase de exploración

En esta etapa se definieron los alcances del proyecto, recopilando la información

necesaria de los cajeros automáticos mediante una investigación bibliográfica

donde se indago el ataque que se realiza a estos dispositivos empotrados y

sobrepuestos, además se inició con el proceso de investigación para el desarrollo

de una aplicación de cajero automático en Java y con la herramienta Kali Linux

demostrar las pruebas necesarias ajustándose a los objetivos específicos de la

investigación.

Fase de planificación

En esta fase de planificación se detalla todas las actividades que conllevan al

desarrollo del proyecto por medio de un ambiente de simulación que se lo

demostrara en la etapa de revisión y sustentación.

A continuación, actividades del proyecto:

• Inicio de la investigación del proyecto.

• Desarrollo de encuestas a las tres instituciones bancarias.

• Desarrollo de la aplicación de cajero automático en Java.

• Implementación del ambiente de simulación para ejecutar el Ataque

Jackpotting.

47

Fase de diseño

En esta última fase se emplea un diseño del proyecto demostrando su

finalización, para luego ser revisado por el tutor y revisor verificando si existen

algunas observaciones, en este caso se da por culminada la propuesta.

ENTREGABLES DEL PROYECTO

Los entregables del proyecto son los siguientes:

• Permiso de apertura de la encuesta en las tres instituciones financieras.

• Código de la aplicación de cajero automático.

• Diseño del ambiente de prueba.

• Diagrama del ataque Jackpotting.

• Evidencias de la encuesta en las tres instituciones financieras.

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA

Para validar la propuesta del presente proyecto de titulación se tomaron en

consideración los criterios del Ingeniero Marlon Altamirano Di Luca experto en

seguridad informática que fue impartido por el mismo mediante una encuesta,

los cuales el menciona que las instituciones financieras deben de tomar en

cuenta las vulnerabilidades presentes en los cajeros automáticos para prevenir la

sustracción de dinero físico por parte de los ciberdelincuentes que realizan

intrusiones maliciosas para establecer el robo de dinero en sistemas de cajeros

automáticos. La mayoría de las entidades bancarias en algunos lugares poseen

cajeros automáticos desactualizados donde esto se convierte en una puerta

grande para los piratas informáticos que realizan ciberataques en beneficio

propio produciendo perdidas en las instituciones bancarias, debido a estos

inconvenientes los bancos y cooperativas de ahorro y crédito deben de fortalecer

la seguridad de la información en sus sistemas informáticos con el objetivo de

generar un mejor rendimiento y calidad a los clientes en base a esto se

48

disminuirán los riesgos y amenazas en estos dispositivos dispensadores de

dinero.

A su vez el Ingeniero Altamirano indica que existen varios procesos de mejora de

la seguridad de la información de los sistemas de cajeros automáticos en la cual

las normas de seguridad informática son utilizadas como una guía de seguridad

por otras instituciones financieras para la toma del control de los riesgos y

amenazas y tener un personal altamente capacitado y preparado ante incidentes

de seguridad.

CRITERIOS DE ACEPTACION DEL PRODUCTO

Tabla No. 16Criterios de aceptación del producto

INDICADORES ESTRATEGIAS CUMPLIMIENTO

Evaluación de la

seguridad de los

sistemas de cajeros

automáticos por medio

del ataque Jackpotting.

Actualización de los

sistemas operativos de

los cajeros automáticos

que están ubicados en

farmacias, centros

comerciales y demás.

100%

Identificación de las

posibles

vulnerabilidades de los


Implementación de

dispositivos de

seguridad informática

para disminuir la

inseguridad de

propagación de código

malicioso

100%

Generación de un

reporte, detallando los

resultados obtenidos

Evidencias de las

pruebas realizadas

dentro de un ambiente

100%

49

por medio del ataque

Jackpotting.

de prueba.


50

CONCLUSIONES

• Por medio del levantamiento de información en los cajeros automáticos

se pudo determinar que alguno de ellos posee sistemas operativos

Windows XP para la realización de transacciones, además las

arquitecturas de estos no contienen actualizaciones desde el año 2010.

• Por medio del lenguaje de programación JAVA con su respectivo IDE de

NETBEANS se pudo simular la función de un cajero automático y con la

herramienta Kali Linux integrada con la intrusión de Metasploit se adapta

a los ataques Jackpotting por la cual este cumple con los requerimientos

de dicho ataque informático.

• Mediante el análisis de vulnerabilidades en los sistemas de cajeros

automáticos se determinó por medio del Metasploit, puertos abiertos,

servicios levantados, versión del sistema operativo del cajero automático

y demás.

• Por medio de informes de auditoría de seguridad informática se

evidencio los resultados generados por el ataque Jackpotting utilizando la

herramienta Metasploit integrada en el sistema operativo Kali Linux.

• Dentro de la investigación desarrollada se pudo verificar que la norma PCI

como guía de seguridad, proporciona una serie de políticas y controles

que ayudan a disminuir los riesgos producidos por el ataque Jackpotting.

51

RECOMENDACIONES

• Se recomienda que se realicen actualizaciones del sistema operativo de

algunos cajeros automáticos que se encuentran en un estado de

desactualización para evitar propagación de códigos maliciosos.

• Se recomienda que se realicen auditorías periódicas para conocer el

estado de la seguridad de los sistemas de cajeros automáticos y con estos

poder tomar los controles adecuados para proteger la información

almacenada en estos dispositivos.

• Se recomienda que se realicen intrusiones para que las organizaciones

financieras puedan tener conocimiento de los riesgos que se pueden

producir al no tomar en consideración las posibles vulnerabilidades en los

cajeros automáticas.

• Evidenciar todas las vulnerabilidades detectadas para informar a las

organizaciones financieras sobre todos estos fallos de seguridad

mediante un informe de auditoría de seguridad informática.

• Se recomienda el uso de normas de seguridad de la información para la

implementación de políticas de seguridad y controles que ayuden a

salvaguardar la información de carácter confidencial.

52

BIBLIOGRAFÍA

[1] BBVA, “HISTORIA DE LOS CAJEROS AUTOMATICOS,” 2013. [Online].

Available: https://www.bbva.com/es/historia-de-los-cajeros-

automaticos/.

[2] Kaspersky, “Hacking de cajeros automaticos,” 29/09/2016, 2016. .

[3] O. Kochetova, “Cajeros automaticos,” 16/04/2016, 2016. .

[4] Ó. Gutiérrez, “La banda Carbanak está detrás del robo digital más grande

de la historia,” 16/02/2015, 2015. .

[5] A. Ferrer, “Piratas informaticos,” 17/02/2015, 2015. .

[6] E. Marín, “Unos Hackers roban 13 millones de dólares de cajeros

automáticos en Japón en apenas 2 horas,” 23/05/2016, 2016. .

[7] Ó. Condés, “7 cosas por las que hackear un cajero automático es sencillo,”

29/03/2016, 2016. .

[8] M. P. Corzón, “Cajero automático,” 2013. [Online]. Available:

https://www.ecured.cu/Cajero_automático.

[9] J. Alviz, “Microsoft entierra Windows XP y los cajeros automáticos temen

por su seguridad,” 2013. [Online]. Available:

https://clipset.20minutos.es/microsoft-entierra-windows-xp-y-los-cajeros-

automaticos-temen-por-su-seguridad/.

[10] Contribuciones, “INTRODUCCION A LOS ATMs,” 29/09/2015, 2015.

[Online]. Available:

http://www.securitybydefault.com/2015/09/introduccion-seguridad-de-

cajeros.html.

53

ANEXOS

Anexo 1: Simulación del cajero automático

En esta ventana se procede a iniciar el servicio de Metasploit.

Gráfico No. 17 Inicio del Metasploit



En esta ventana se procede a verificar el servicio de base de datos levantado.

Gráfico No. 18 Verificación del servicio de base de datos


54


Una vez levantado el servicio de base de datos se procede con el inicio de la

herramienta Armitage.

Gráfico No. 19 Inicio de Armitage



En esta ventana se procede a conectar el Armitage con la dirección IP de

localhost de Kali Linux.

Gráfico No. 20 Conexión de Armitage con la dirección IP de localhost



55

En esta ventana se procede a verificar la carga de los módulos de Armitage.

Gráfico No. 21 Carga de los módulos de Armitage



En esta ventana se procede a seguir verificando la carga de los módulos de

Armitage.

Gráfico No. 22 Carga de los módulos de Armitage



56

En esta ventana se procede a activar el Metasploit.

Gráfico No. 23 Activación del Metasploit



En esta ventana se procede a verificar la carga del servicio de Armitage.

Gráfico No. 24 Verificación de la conexión de Armitage



57

En esta ventana se procede a verificar el estado de conexión del Armitage.

Gráfico No. 25 Estado de conexión



En esta etapa se procede a escanear las computadoras que están conectadas a la

red.

Gráfico No. 26 Escaneo de Puertos con Armitage



58

En esta ventana se procede a asignar la dirección de red para el escaneo de


Gráfico No. 27 Asignación de la dirección de red para el escaneo de cajeros

automáticos



En esta etapa se procede a verificar los cajeros automáticos.

Gráfico No. 28 Cajeros automáticos



59

Gráfico No. 29 Escaneo de ataques



En este proceso se verifica la carga de los exploit para cargar el cajero

automático.

Gráfico No. 30 Carga de los exploit para el cajero automático



60

En esta ventana se procede a la activación del exploit para atacar los cajeros

automáticos.

Gráfico No. 31 Activación del exploit



En esta ventana se procede a activar el exploit desde un navegador web.

Gráfico No. 32 Activación del exploit por medio del navegador



61

En esta ventana se procede a verificar el cajero automático infectado.

Gráfico No. 33 Cajero automático infectado



62

Anexo 2: Diseño del Ataque

Gráfico No. 34 Diseño del Ataque Jackpotting



63

Anexo 3: Programación del cajero automático En esta ventana se procede a iniciar las variables del cajero automático.

Gráfico No. 35 Inicio de las variables



En esta ventana se procede a programar las funciones del cajero automático

Gráfico No. 36 Programación de las funciones del cajero



64

En esta ventana se procede a programar las fases del cajero automático.

Gráfico No. 37 Programación de las fases del cajero



En esta ventana se programan la fase tres del cajero automático.

Gráfico No. 38 Programación de las siguientes fases

65


En esta ventana se programa las fases cuatro y cinco del cajero automático.

Gráfico No. 39 Programación de la fase cuatro y cinco



En esta etapa se procede a programar la fase seis del cajero y los eventos del

cajero automático.

Gráfico No. 40 Programación de la fase seis y de eventos

66


En esta etapa se procede a programar los eventos de los botones del cajero

automático.

Gráfico No. 41 Programación de los eventos de los botones



67

Anexo 4: Informe Observaciones

• El cajero automático analizado se encuentran con el sistema operativo

Windows XP en la cual dicho sistema no se encuentra con actualizaciones

disponibles.

• El cajero automático posee vulnerabilidades de troyanos y exploit.

• El cajero automático se encuentra desactualizado en base a su

arquitectura.

• El cajero automático no posee mecanismos de protección en base a los

virus informáticos que los atacantes utilizan para tener el acceso a los

mismos.

Sugerencias

• Migrar a sistemas operativos actualizados que posean los parches de

seguridad disponibles dentro de los sistemas.

• Aplicar mecanismos de protección para disminuir los índices de

propagación de virus informáticos como troyanos y exploits.

• Implementar cajeros automáticos actualizados en base a su arquitectura

para incrementar la robustez y los niveles de seguridad del mismo con el

objetivo de evitar ataques maliciosos.

• Implementar aplicaciones de antivirus informáticos para bloquear los

accesos de troyanos y exploits.

SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL...

Documents

Transcript of SIMULACIÓN Y ANÁLISIS DE VULNERABILIDADES DEL...