Qué es el jackpotting, la técnica de robo que permite vaciar cajeros mediante malware

Publicado el 27/06/2024 por Diario Tecnología Artículo original

Los cibercriminales tienen en los cajeros automáticos un objetivo lucrativo y relativamente vulnerable, que han aprendido a explotar mediante una técnica conocida como jackpotting. Este método implica la utilización de malware para hacer que los cajeros automáticos expulsen todo o parte de su dinero, sin la necesidad de recurrir a tarjetas de crédito robadas o clonadas.

Aunque los primeros casos documentados datan de hace más de una década, los incidentes de jackpotting han aumentado en frecuencia y sofisticación en los últimos tiempos, afectando a entidades financieras en todo el mundo.

De hecho, el término "jackpotting" se popularizó en 2010, cuando el investigador de seguridad Barnaby Jack demostró durante la conferencia de ciberseguridad 'Black Hat' cómo un cajero automático podía ser manipulado para expulsar todo su efectivo.

Pocos años después, se reveló un aluvión de ataques de este tipo en Alemania, donde los cibercriminales lograron sustraer más de un millón de euros mediante el uso del malware Cutlet Maker.

Las entidades financieras han intentado mitigar estos riesgos mediante la actualización de software y la mejora de la seguridad física de los cajeros automáticos. Sin embargo, la realidad es que muchos cajeros aún operan con sistemas obsoletos como Windows NT y Windows 7, lo que los hace vulnerables a ataques sofisticados.

¿Cómo funciona el jackpotting?

El proceso de jackpotting generalmente involucra los siguientes pasos:

1. Acceso físico al cajero: Los delincuentes suelen disfrazarse de técnicos para evitar levantar sospechas mientras abren un panel del cajero para acceder a los puertos USB internos.
2. Instalación del malware: Una vez que tienen acceso físico, insertan un dispositivo USB que contiene el malware. Los ejemplos más notorios de este tipo de malware son Cutlet Maker y Ploutus. Estos programas maliciosos se instalan en el sistema del cajero, dándoles control sobre su funcionamiento.
3. Activación y control: Con el malware instalado, los atacantes pueden usar comandos para hacer que el cajero expulse dinero. En algunos casos, esto se puede hacer de forma remota, pero normalmente requiere la presencia física de los delincuentes para monitorear y asegurar la operación.
4. Retiro del dinero: Los cajeros infectados comienzan a dispensar billetes, que son recolectados por los atacantes o por 'mulas' de dinero, personas que recogen y transportan el efectivo sustraído.

Tipos de malware usados en jackpotting

El jackpotting ha visto el desarrollo de varias cepas de malware, cada una con sus propias características y métodos de ataque. A continuación, se describen los malwares más destacados utilizados en estas operaciones criminales.

Ploutus

Ploutus es uno de los malwares más avanzados utilizados en el jackpotting. Descubierto por primera vez en México en 2013, ha evolucionado a través de varias versiones:

• Ploutus-A: La primera versión, que requería la inserción de un CD en el cajero automático.
• Ploutus-B: Introducida en 2014, esta versión permitió la distribución a través de un teléfono móvil conectado por USB.
• Ploutus-D: La versión más reciente, lanzada en 2016, utiliza un ofuscador .NET para evitar la detección y es compatible con máquinas de 41 proveedores diferentes en 80 países.

Cutlet Maker

Cutlet Maker es otro malware notable que ha ganado notoriedad en el mundo del jackpotting. Inicialmente vendido en foros clandestinos, este malware es conocido por su facilidad de uso y la poca necesidad de conocimientos técnicos avanzados para operarlo.

• Infección: Se introduce a través de una memoria USB conectada al cajero automático, junto con un teclado externo.
• Interfaz: Muestra un mensaje en la pantalla del cajero con una caricatura de un chef y un mensaje que dice “¡Ho-ho-ho! ¡Hagamos unas chuletas hoy!”.

WinPot

WinPot, descubierto en 2018, está inspirado en Cutlet Maker pero con características adicionales que lo convierten en una herramienta muy poderosa para los cibercriminales.

• Funcionamiento: Convierte al cajero automático en una máquina tragamonedas, permitiendo la dispensación continua de billetes.
• Actualizaciones: Ha pasado por varias versiones, cada una mejorando la interfaz y los métodos de operación para evitar la detección y aumentar la efectividad.
• Método de infección: Al igual que otros malwares, requiere acceso físico al puerto USB del cajero.

EU ATM

La cepa de malware EU ATM es una amenaza desvelada en estos últimos días, dirigida específicamente a cajeros automáticos en Europa.

• Efectividad: Tiene una eficacia del 99% en cajeros europeos y del 60% en otras regiones.
• Capacidad de extracción: Permite retirar hasta 30.000 dólares (unos 28.000 euros) de un solo cajero.
• Basado en el estándar XFS: Este estándar proporciona una API para gestionar diferentes módulos internos de los cajeros, independientemente del fabricante.
• Automatización: La dispensación de dinero puede ser completamente automatizada, requiriendo solo la acción física de recoger los billetes.

Medidas de protección contra el jackpotting

Para combatir el jackpotting, los bancos recurren a toda una serie de medidas de seguridad tanto a nivel físico como digital:

1. Actualización de software: Mantener el software de los cajeros actualizado y protegido con soluciones anti-malware es crucial.
2. Seguridad física: Mejorar la seguridad física de los cajeros mediante la instalación de cámaras de vigilancia, el refuerzo de los gabinetes y la contratación de personal de seguridad para monitorear los cajeros.
3. Restricción de acceso: Implementar mecanismos que dificulten el acceso físico no autorizado a los componentes internos del cajero, como el uso de cerraduras mejoradas y alarmas de seguridad.
4. Cifrado de datos: Asegurar que los datos del cajero estén cifrados para proteger la información sensible y evitar que los atacantes puedan acceder a los sistemas de control.

Imagen | Marcos Merino mediante IA

En Genbeta | Los estafadores tienen trucos para clonar tu tarjeta y robar todo el dinero de tu cuenta bancaria: así los ejecutan

27_Jun_2024"> Marcos Merino .