Login Probar gratis
Jackpotting: cómo los hackers hacen que los cajeros automáticos escupan dinero

Jackpotting: cómo los hackers hacen que los cajeros automáticos escupan dinero

por MataSpam Ciberataques

El jackpotting es una técnica de hackeo de cajeros automáticos que permite a los atacantes vaciar la máquina de billetes en cuestión de minutos. No es ciencia ficción: el término viene de "jackpot", como en las tragaperras, porque el cajero literalmente escupe dinero sin parar. Desde que los primeros casos de ATM hack se documentaron públicamente en 2010, el fenómeno no ha dejado de evolucionar. Malware como Ploutus, Tyupkin o ALICE han demostrado que los cajeros —que en su mayoría ejecutan versiones antiguas de Windows— son objetivos más vulnerables de lo que los bancos querrían admitir. Y sí, el cajero automático malware es un negocio que mueve millones cada año.

Cómo funciona un ataque de jackpotting paso a paso

Un cajero automático no es más que un ordenador con Windows (muchas veces XP o 7, aunque oficialmente ya no tienen soporte) conectado a un dispensador de billetes. Los atacantes explotan precisamente esa arquitectura. Existen dos grandes modalidades de jackpotting: el basado en software (malware) y el basado en hardware (caja negra).

Ataque con malware: el delincuente accede al sistema operativo del cajero —mediante un USB, un CD-ROM o incluso acceso remoto a la red del banco— e instala un programa que toma el control del dispensador. Ploutus, detectado por primera vez en México en 2013 y documentado por Symantec y FireEye, es el ejemplo más conocido.

Una vez instalado, el atacante envía un comando (a veces por SMS, a veces con una combinación de teclas) y el cajero empieza a dispensar billetes como si fuera Navidad.

Ataque con caja negra (black box): aquí ni siquiera necesitan infectar el sistema operativo. Abren el panel superior del cajero (muchas veces con llaves genéricas que se compran online), desconectan el cable que va del ordenador al dispensador y enchufan su propio dispositivo —un portátil o una Raspberry Pi— que envía comandos directos al módulo dispensador. El software del banco queda completamente fuera de juego.

En ambos casos, la operación suele durar menos de 15 minutos. Un cómplice (la "mula") recoge los billetes mientras el técnico controla el proceso. Los cajeros más antiguos, sin cifrado en la comunicación entre el PC y el dispensador, son los más vulnerables a este tipo de ATM hack.

Malware para cajeros: Ploutus, Tyupkin y compañía

El ecosistema de cajero automático malware es más variado de lo que parece. Estos son los más relevantes:

MalwareAñoOrigenMétodo
Ploutus / Ploutus.D2013 / 2017México, luego globalUSB o acceso físico. Control por SMS o teclado. Compatible con múltiples fabricantes.
Tyupkin2014Europa del EsteCD-ROM booteable. Solo activo en horario nocturno para evitar detección.
ALICE2016GlobalMinimalista: solo dispensa billetes, sin funciones extra. Difícil de detectar.
Cutlet Maker2017Vendido en dark webKit comercial con interfaz gráfica. Precio: en torno a 5.000 USD según Kaspersky.
FASTCash2018Atribuido a Lazarus (Corea del Norte)Intercepta transacciones a nivel de red bancaria, no del cajero individual.

Lo preocupante de Cutlet Maker es que democratizó el hackeo de cajeros. Se vendía como un producto comercial en foros de la dark web, con manual de instrucciones incluido. Kaspersky lo documentó en 2017 y alertó de que cualquier persona con acceso físico al cajero y unos miles de dólares podía ejecutar el ataque sin conocimientos avanzados.

El grupo Lazarus, vinculado al gobierno norcoreano según el FBI y múltiples agencias de inteligencia, llevó el concepto un paso más allá con FASTCash. En lugar de atacar cajeros individuales, comprometían los servidores de la red de pagos (switch servers) para aprobar transacciones fraudulentas en masa. En 2018, la operación afectó a bancos en más de 30 países simultáneamente. Si te interesan los ataques a infraestructura crítica como hospitales y redes eléctricas, el patrón es similar: sistemas antiguos, poca segmentación de red y actualizaciones que llegan tarde.

Por qué los cajeros son tan vulnerables

La pregunta obvia: ¿cómo es posible que máquinas que manejan dinero físico tengan una seguridad tan deficiente? La respuesta es una combinación de factores técnicos y económicos.

  • Sistemas operativos obsoletos: Una parte significativa de los cajeros del mundo ejecuta versiones de Windows sin soporte. Según datos de la European Association for Secure Transactions (EAST), la migración a Windows 10 (y ahora 11) ha sido lenta porque cada actualización requiere recertificar el software bancario, un proceso costoso.
  • Comunicación sin cifrar: En muchos modelos, la comunicación entre el PC del cajero y el módulo dispensador usa el protocolo XFS (eXtensions for Financial Services) sin autenticación ni cifrado. Es como dejar la puerta abierta con un cartel de "pase".
  • Acceso físico relativamente fácil: Los paneles superiores de los cajeros (donde está el PC) suelen estar protegidos con cerraduras estándar. Las llaves genéricas de fabricantes como NCR o Diebold Nixdorf se encuentran en mercados online.
  • Segmentación de red deficiente: Algunos bancos conectan sus cajeros a la misma red que otros sistemas corporativos, lo que permite movimiento lateral tras una intrusión inicial.
  • Ciclo de vida largo: Un cajero tiene una vida útil de 7 a 10 años. El hardware y software que era seguro en 2015 no lo es en 2026.

Es un problema parecido al que sufren los dispositivos IoT, como los de domótica: hardware desplegado masivamente, difícil de actualizar y con ciclos de vida largos. La diferencia es que dentro del cajero hay fajos de billetes reales.

Casos reales que deberías conocer

El jackpotting no es un problema teórico. Estos ataques han costado millones a entidades financieras de todo el mundo.

México, 2013-2014: La primera oleada documentada de Ploutus afectó a cajeros de varios bancos mexicanos. Los atacantes usaban un teléfono móvil conectado por USB al cajero para enviar comandos por SMS. La Comisión Nacional Bancaria y de Valores (CNBV) y las autoridades federales intervinieron tras meses de pérdidas.

Taiwán, 2016: Miembros del grupo Cobalt (vinculado a Europa del Este) robaron aproximadamente 2,5 millones de dólares de cajeros del First Commercial Bank usando malware instalado remotamente a través de la red interna del banco. Las cámaras grabaron a las mulas recogiendo billetes de cajeros que dispensaban sin que nadie los tocara.

Alemania, 2017: Europol y la policía alemana desmantelaron una red que usaba Tyupkin para vaciar cajeros. Los ataques se ejecutaban de madrugada —el malware estaba programado para activarse solo entre la 1:00 y las 5:00 AM—.

Estados Unidos, 2018: El Servicio Secreto emitió una alerta confidencial (filtrada a Krebs on Security) advirtiendo de ataques de jackpotting con malware Ploutus.D contra cajeros Diebold Nixdorf Opteva en todo el país. Fue la primera confirmación oficial de ataques a gran escala en territorio estadounidense.

Europa, 2019-2020: EAST reportó un aumento del 269% en ataques de caja negra (black box) en Europa durante 2020. La pandemia dejó muchos cajeros en ubicaciones menos vigiladas, lo que facilitó el acceso físico. Si alguna vez te ha parecido sospechoso un dispositivo conectado a un cajero, el instinto no iba desencaminado —los ataques por USB son más comunes de lo que parece—.

Cómo se defienden los bancos (y qué falla)

La industria financiera no se ha quedado de brazos cruzados, pero las contramedidas avanzan más despacio que los atacantes.

  1. Cifrado de comunicaciones XFS: Los fabricantes más importantes (NCR, Diebold Nixdorf, Fujitsu) han implementado cifrado y autenticación mutua entre el PC y el dispensador en sus modelos recientes. Pero el parque instalado tarda años en renovarse.
  2. Whitelisting de aplicaciones: En lugar de antivirus tradicional, muchos bancos usan soluciones de whitelisting que solo permiten ejecutar software autorizado. Herramientas como McAfee Application Control o Symantec Endpoint Protection se despliegan específicamente para entornos ATM.
  3. Detección de apertura física: Sensores que alertan cuando se abre el panel del cajero fuera de horario de mantenimiento. Suena obvio, pero muchos modelos antiguos no lo incluían.
  4. BIOS protegida: Desactivar el arranque desde USB o CD-ROM y proteger la BIOS con contraseña dificulta la instalación de malware por acceso físico.
  5. Segmentación de red: Aislar la red de cajeros del resto de la infraestructura bancaria limita el movimiento lateral en caso de intrusión.

El problema real es económico. Actualizar o reemplazar miles de cajeros cuesta cientos de millones. Muchas entidades calculan que las pérdidas por jackpotting son menores que el coste de la migración, así que asumen el riesgo. Hasta que un incidente grande les cambia las matemáticas.

Preguntas frecuentes

¿Pueden hackearme a mí como usuario cuando uso un cajero víctima de jackpotting?

El jackpotting no roba datos de tarjetas ni afecta al usuario final directamente. El objetivo es el dinero físico dentro de la máquina, no tu cuenta bancaria. Es distinto del skimming, que sí clona tarjetas. Dicho esto, si ves un cajero con aspecto manipulado (cables sueltos, panel abierto, comportamiento extraño), no lo uses y avisa al banco.

¿Es cierto que los cajeros funcionan con Windows XP?

Muchos todavía sí, especialmente en países en desarrollo. Microsoft dejó de dar soporte a Windows XP en 2014 (con extensiones de pago hasta 2019), pero la migración de cajeros es costosa y lenta. NCR y Diebold Nixdorf llevan años ofreciendo soluciones para Windows 10/11, pero el despliegue completo está lejos de terminar en la mayoría de redes bancarias.

¿Se puede comprar malware para cajeros en la dark web?

Sí. Cutlet Maker se ha vendido abiertamente desde 2017 en mercados como AlphaBay (ya clausurado) y sus sucesores. Kaspersky documentó precios en torno a 5.000 USD. También circulan versiones de Ploutus y kits de caja negra. La barrera de entrada técnica ha bajado significativamente.

¿Es legal investigar vulnerabilidades en cajeros automáticos?

La investigación de seguridad en cajeros es legítima dentro de programas de bug bounty o acuerdos con los fabricantes. NCR y Diebold Nixdorf tienen canales para recibir reportes de vulnerabilidades. Fuera de ese marco, manipular un cajero —aunque sea "por curiosidad"— constituye un delito en la mayoría de jurisdicciones. Si descubres algo, reportarlo de forma responsable es la única vía legal.

El siguiente paso

La próxima vez que uses un cajero automático, fíjate en el modelo y fabricante (suele estar en la parte superior). Busca en Google si ese modelo tiene CVEs conocidos —la base de datos NIST NVD es pública—. No para hackear nada, sino para entender el estado real de la seguridad del hardware financiero que usas a diario. Si encuentras algo interesante, compártelo con tu entidad bancaria. Los bancos necesitan presión de sus clientes para priorizar la actualización de infraestructura que, desde fuera, parece funcionar perfectamente pero por dentro ejecuta software de hace una década.

jackpotting hackeo cajero atm hack cajero automático malware ploutus
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Ciberataques contra elecciones: la amenaza digital a la democracia
Ciberataques

Ciberataques contra elecciones: la amenaza digital a la democracia

Ataques zero-day más sonados: ejemplos reales y cómo se descubrieron
Ciberataques

Ataques zero-day más sonados: ejemplos reales y cómo se descubrieron

Escalada de privilegios: cómo un atacante pasa de usuario básico a administrador
Ciberataques

Escalada de privilegios: cómo un atacante pasa de usuario básico a administrador

← Volver al blog