El último boletín público del FBI advierte de un incremento significativo de los ataques jackpotting a cajeros automáticos en todo Estados Unidos. Solo en 2025 se han registrado más de 700 incidentes, con pérdidas que superan los 20 millones de dólares. Desde 2020 se han documentado alrededor de 1.900 ataques con malware contra cajeros, casi la mitad concentrados en el último año, lo que evidencia un deterioro sostenido de la seguridad en este segmento crítico de la infraestructura financiera.
Qué es el jackpotting en cajeros automáticos y por qué es tan crítico
El jackpotting de cajeros automáticos es una técnica en la que los atacantes fuerzan al cajero a dispensar efectivo sin que exista una transacción bancaria legítima. A diferencia del skimming, centrado en robar datos de tarjetas de clientes, en el jackpotting el objetivo directo es el hardware y el software del propio cajero automático. El resultado es la sustracción de grandes cantidades de efectivo en cuestión de minutos, normalmente antes de que la entidad detecte cualquier anomalía.
De acuerdo con el FBI, el patrón más habitual consiste en que el delincuente obtiene acceso físico al interior del cajero, instala o conecta un malware especializado y ordena la emisión de efectivo directamente al módulo dispensador. No se utiliza tarjeta, PIN ni cuenta bancaria real, lo que deja a muchas soluciones antifraude basadas en análisis transaccional prácticamente ciegas ante este tipo de ataque.
Malware Ploutus: la herramienta clave de los ataques jackpotting
Ploutus, una familia de malware madura y aún muy activa
El malware Ploutus se ha consolidado, según el FBI, como el componente central en numerosos ataques jackpotting a nivel internacional. Detectado por primera vez hace más de una década y muy activo en campañas de 2017–2018, Ploutus ha evolucionado manteniéndose como uno de los malware para cajeros automáticos más extendidos en el ecosistema del cibercrimen financiero.
Control del cajero a través del estándar XFS
Ploutus explota el estándar eXtensions for Financial Services (XFS), la capa de software que permite a la aplicación del cajero comunicarse con sus componentes físicos (dispensador de billetes, lector de tarjetas, PIN pad, etc.). En un escenario normal, cada operación se autoriza contra el procesador bancario a través de XFS. Sin embargo, cuando el atacante consigue enviar comandos XFS directamente al sistema, puede eludir por completo la autorización y ordenar la retirada de efectivo de manera local.
En la práctica, el malware convierte el cajero en un “distribuidor de efectivo bajo demanda”: el criminal define importes, número de billetes y modo de dispensación, activando el proceso mediante combinaciones ocultas en el teclado, dispositivos USB preparados o, en entornos más avanzados, canales remotos si la red del cajero también ha sido comprometida.
Por qué tantos cajeros automáticos son vulnerables a jackpotting
Uno de los factores que más favorece estos ataques es la amplia homogeneidad tecnológica. La mayoría de cajeros automáticos modernos utilizan alguna versión de Microsoft Windows y el estándar XFS. Según el FBI, esta estandarización permite que una variante de Ploutus funcione en equipos de distintos fabricantes con mínimas adaptaciones, elevando la escalabilidad del delito y reduciendo los costes de desarrollo para los atacantes.
La seguridad física deficiente también desempeña un papel determinante. En numerosos incidentes documentados, los delincuentes accedieron al interior del cajero empleando llaves universales, credenciales de servicio falsificadas o forzando los mecanismos de cierre. Una vez dentro, pudieron extraer el disco duro para instalar el malware y volver a montarlo, o sustituirlo completamente por uno ya preparado. Adicionalmente, Ploutus incorpora rutinas para borrar trazas de su actividad, lo que complica el análisis forense posterior.
Recomendaciones del FBI para proteger cajeros frente al jackpotting
El FBI acompaña su alerta con indicadores de compromiso y un conjunto de buenas prácticas de ciberseguridad para cajeros automáticos, entre las que destacan:
1. Auditorías regulares de los cajeros. Revisar de forma periódica la parte física y lógica del equipo: búsqueda de USB no autorizados, placas adicionales, cableado alterado y señales de manipulación en cerraduras o carcasas. Cualquier modificación no documentada debe considerarse un posible indicador de jackpotting.
2. Monitorización de procesos y control de integridad. Implementar soluciones que supervisen procesos desconocidos o anómalos en el sistema operativo del cajero, cambios en archivos críticos y desviaciones respecto a imágenes maestras certificadas. Esto facilita la detección temprana de discos sustituidos, malware y alteraciones no autorizadas en la configuración.
3. Refuerzo de la seguridad física. Actualizar políticas de acceso a las áreas de servicio, emplear cerraduras reforzadas y llaves individualizadas, incorporar videovigilancia enfocada a los puntos de mantenimiento y sensores de apertura de gabinete que alerten en tiempo real al centro de seguridad.
4. Actualización de software y segmentación de red. Migrar los cajeros a versiones de Windows soportadas y endurecidas, limitar al mínimo los privilegios de las cuentas locales y aislar la red de cajeros del resto de la infraestructura TI, reduciendo así las opciones de movimiento lateral del atacante.
El aumento de los ataques jackpotting en cajeros automáticos demuestra cómo la combinación de estándares ampliamente adoptados, exposición física y falta de monitorización continua genera un vector de riesgo crítico para bancos y procesadores. Tratar cada cajero como un endpoint de alta criticidad, aplicar auditorías periódicas, reforzar la protección física y formar al personal técnico son pasos esenciales para reducir la superficie de ataque, mitigar el impacto económico y mantener la confianza de los usuarios en los servicios financieros digitales y presenciales.
