(https://i.imgur.com/xkQfk1m.jpeg)
El jackpotting en cajeros automáticos vuelve a situarse en el centro del debate sobre ciberseguridad financiera tras una nueva advertencia del Federal Bureau of Investigation (FBI). Según la agencia, los estadounidenses perdieron más de 20 millones de dólares en 2025 como consecuencia directa de este tipo de ataques, impulsados principalmente por malware especializado como Ploutus.
El informe revela un incremento significativo de incidentes, con más de 700 ataques registrados solo el año pasado. Para contextualizar, desde 2020 se habían contabilizado aproximadamente 1.900 incidentes en total en Estados Unidos, lo que evidencia un crecimiento acelerado y preocupante.
¿Qué es el jackpotting en cajeros automáticos?El jackpotting es una técnica de ataque en la que los delincuentes instalan malware en cajeros automáticos (ATM) para forzar la máquina a dispensar efectivo bajo demanda, sin necesidad de tarjeta bancaria ni autorización de la entidad financiera.
A diferencia de los fraudes tradicionales basados en clonación de tarjetas o phishing, el jackpotting apunta directamente al software que controla el hardware físico del cajero automático. El objetivo es tomar el control del sistema interno y emitir órdenes de retirada de efectivo.
Estos ataques pueden ejecutarse en cuestión de minutos y, en muchos casos, pasan desapercibidos hasta que el cajero ya ha sido vaciado.
Cómo funciona el malware PloutusEl FBI explicó que los cajeros automáticos están diseñados para validar las transacciones mediante comunicación con el banco antes de dispensar efectivo. Este proceso utiliza una capa de software denominada Extensiones para Servicios Financieros (XFS), que actúa como intermediaria entre el sistema operativo del cajero y sus componentes físicos.
El malware Ploutus explota precisamente esta capa XFS.
Cuando un usuario realiza una transacción legítima:
- El cajero envía una solicitud al banco.
- El banco valida la operación.
- Se autoriza la dispensación de efectivo.
Sin embargo, si un atacante logra emitir comandos directamente a XFS, puede omitir completamente la fase de autorización bancaria y ordenar al cajero que entregue dinero de forma inmediata.
En términos prácticos, el malware transforma el cajero automático en una máquina de distribución de efectivo controlada por los delincuentes.
Acceso físico: el eslabón más débilUno de los aspectos más críticos de estos ataques es que requieren acceso físico al cajero automático. Los ciberdelincuentes suelen emplear:
- Llaves genéricas ampliamente disponibles en el mercado negro.
- Herramientas para abrir compartimentos internos sin forzar visiblemente la estructura.
Una vez dentro, pueden:
- Retirar el disco duro original.
- Instalar malware directamente en el sistema.
- Sustituir el disco por uno previamente preparado con software malicioso.
Este método permite que la intrusión pase desapercibida para sistemas de monitorización basados exclusivamente en red, ya que la manipulación ocurre localmente.
El impacto financiero y operativoLas pérdidas estimadas superan los 20 millones de dólares solo en 2025. Pero el impacto real va más allá del dinero sustraído.
Las instituciones financieras afectadas enfrentan:
- Costes de reposición de efectivo.
- Gastos en investigación forense digital.
- Daño reputacional.
- Posibles sanciones regulatorias.
- Refuerzo urgente de infraestructura de seguridad.
Además, la detección tardía agrava el problema, ya que muchos incidentes solo se descubren cuando el cajero queda sin efectivo.
Respuesta del FBI y recomendaciones de seguridadEn su alerta, el FBI instó a bancos y operadores de cajeros automáticos a adoptar medidas preventivas inmediatas, incluyendo:
- Auditorías regulares del hardware y software de cajeros.
- Supervisión del uso no autorizado de dispositivos de almacenamiento removible.
- Detección de procesos sospechosos o no reconocidos.
- Implementación de validación de integridad de "imagen dorada" (golden image integrity).
La validación de imagen dorada permite comparar el estado actual del sistema con una versión segura previamente certificada, facilitando la detección temprana de alteraciones.
Este enfoque combinado resulta esencial para identificar intrusiones físicas y fases de preparación del malware que no generan tráfico de red sospechoso.
Conexión con el Tren de AraguaLa advertencia del FBI coincide con una ola de detenciones relacionadas con el grupo criminal Tren de Aragua (TdA).
Según el Department of Justice de Estados Unidos, 87 miembros de la organización han sido acusados en los últimos seis meses por su presunta participación en un esquema masivo de jackpotting que utilizó el malware Ploutus para robar millones de dólares en efectivo.
Los acusados enfrentan penas máximas que oscilan entre 20 y 335 años de prisión, lo que refleja la gravedad del delito y la dimensión del operativo criminal.
Tendencias en cibercrimen financieroEl jackpotting representa una evolución significativa en el cibercrimen financiero. Mientras que los ataques digitales tradicionales buscan vulnerar redes corporativas de forma remota, este método combina:
- Ingeniería técnica avanzada.
- Acceso físico estratégico.
- Malware especializado.
- Coordinación logística criminal.
La convergencia entre delincuencia organizada y ciberataques sofisticados plantea nuevos retos para el sector bancario.
Además, el auge del jackpotting demuestra que los cajeros automáticos siguen siendo un objetivo atractivo debido a:
- Infraestructuras heredadas.
- Sistemas operativos obsoletos en algunos casos.
- Protección física limitada en ubicaciones remotas.
Una amenaza creciente para el sector financieroEl aumento del jackpotting en Estados Unidos subraya la necesidad de reforzar tanto la ciberseguridad como la seguridad física de los cajeros automáticos. El uso de malware como Ploutus para manipular la capa XFS demuestra que los delincuentes comprenden profundamente la arquitectura técnica de estos sistemas.
Para las entidades financieras, la clave radica en adoptar una estrategia integral que combine:
- Monitorización continua.
- Control de acceso físico.
- Actualizaciones de software.
- Análisis de comportamiento anómalo.
- Cooperación con agencias federales.
El mensaje del FBI es claro: el jackpotting ya no es un fenómeno aislado, sino una amenaza consolidada que exige respuesta inmediata. En un entorno donde la digitalización bancaria avanza rápidamente, proteger la infraestructura física y lógica de los cajeros automáticos se convierte en una prioridad estratégica para evitar que millones de dólares sigan desapareciendo en cuestión de minutos.
Fuente: https://www.bleepingcomputer.com/