ENISA considera que los bancos se encuentran actualmente en una “delicada etapa de transición” que les exige afrontar difíciles retos, por lo cual pasan por alto que descuidar los riesgos asociados a su infraestructura de cajeros automáticos significa perder terreno en una batalla crítica, importante para todo el sistema económico de cualquier país.

Hablando en términos generales, una vez instaladas, las ATM se gestionan pobremente y se actualizan con poca frecuencia, según el informe “ATM Crime”, presentado ayer por ENISA.

Los bancos de 22 países europeos perdieron en conjunto 485 millones de euros debido al fraude vía ATM durante 2008, según datos aportados con anterioridad por EAST (European ATM Security Team), una organización sin ánimo de lucro de la que forman parte distintas instituciones financieras y policiales.

EAST asegura que el año pasado se produjeron un total de 12.278 ataques a ATM, lo que representa un incremento del 149% respecto a 2007. El sistema más común es el conocido como “skimming”, consistente en instalar un pequeño equipamiento en las máquinas, con frecuencia inadvertido por el usuario, que graba la banda magnética de las tarjetas capturando el número de identificación personal (PIN) del usuario. Después, una tarjeta ATM virgen puede ser programada con tal información y utilizada para la realización de transacciones fraudulentas.

Cerca de 400 de los 485 millones de euros robados vía estos tipos de fraude se produjeron fuera del país donde se había emitido la tarjeta. El motivo es que alrededor del 90% de los bancos europeos utilizan ya tarjetas tipo chip-y-PIN, también conocidas como tarjetas EMV. Con ellas, el cajero automático, como también la mayoría de los puntos de venta, comprueban si la tarjeta dispone de un microchip especial-

Debilidades tecnológicas

Sin embargo, según ENISA, siguen existiendo muchas máquinas, en países donde no se ha aplicado el sistema combinado de autenticación basada en chip y PIN, que, para autorizar la transacción, únicamente se apoyan en la banda magnética de la tarjeta y el PIN.

Por otra parte, ENISA defiende que las ATM son vulnerables a otros peligros debido a su propia naturaleza técnica. Por ejemplo, “a menudo utilizan sistemas operativos públicamente disponibles y hardware no especialmente diseñado, y, como resultado, son susceptibles de quedar infectadas con virus y otros tipos de software malicioso”.

En este sentido, cabe señalar que muchas ATM corren sobre el sistema operativo Windows. Pero los parches de seguridad emitidos por Microsoft deben ser probados y licenciados por el fabricante de la máquina, lo que supone un obstáculo adicional para mantener actualizado el software. Esto aumenta las posibilidades de que las ATM –cuyos enlaces con los sistemas de back-end de los bancos a menudo no están encriptados- resulten más vulnerables a gusanos y malware.