Alerta del FBI: crecen los robos a cajeros automáticos con la técnica ‘jackpotting’

La alerta del FBI sobre el crecimiento de los robos a cajeros automáticos mediante la técnica conocida como ‘jackpotting’ ha generado preocupación entre entidades bancarias y proveedores de servicios en Estados Unidos.

El organismo advierte que estos incidentes, en los que se utiliza malware para forzar a los cajeros a dispensar dinero en efectivo sin transacciones legítimas, han aumentado de forma notable, superando los 700 casos en 2025 y ocasionando pérdidas superiores a los 20 millones de dólares.

Qué es el ‘jackpotting’ en cajeros automáticos y cómo funciona

El ‘jackpotting’ se refiere a una modalidad de ataque en la que los delincuentes no necesitan acceder a los datos de las tarjetas ni a las cuentas de los clientes. El objetivo es el propio dispositivo: mediante la instalación de programas maliciosos, los atacantes consiguen que el cajero libere grandes sumas de dinero en cuestión de minutos.

Según el FBI, se trata de “operaciones rápidas de retirada de efectivo” imposibles de detectar hasta que el dinero ya ha sido sustraído.

El proceso depende de la manipulación del software interno del cajero, especialmente de las extensiones para Servicios Financieros (XFS), que constituyen la interfaz entre el hardware y la aplicación bancaria. En condiciones normales, XFS transmite comandos que requieren autorización bancaria previa.

Sin embargo, si un atacante logra emitir instrucciones directamente a través de XFS, puede dispensar efectivo a voluntad, eludiendo todos los controles.

Malware Ploutus, XFS y la vulnerabilidad de los sistemas Windows

Entre los programas identificados en la alerta del FBI destaca la familia de malware Ploutus, diseñada para atacar precisamente la capa XFS de los cajeros automáticos.

Esta vulnerabilidad afecta a una amplia gama de modelos, ya que muchos cajeros emplean el sistema operativo Windows, lo que permite a los criminales adaptar sus métodos con pocas modificaciones.

El malware interactúa directamente con el hardware del cajero, sin necesidad de comprometer cuentas de usuarios individuales. El FBI señala que la facilidad para adaptar el ataque a diferentes fabricantes se debe a la homogeneidad del entorno operativo, lo que amplifica el riesgo y la escala de los hechos.

Métodos de acceso físico y técnicas de infección más comunes

El acceso físico al cajero automático suele ser el primer paso en estos delitos. Los atacantes emplean llaves genéricas, disponibles en el mercado, para abrir la carcasa del dispositivo.

Una vez dentro, pueden extraer el disco duro, instalar el malware mediante otro equipo y luego reinstalarlo, o bien sustituir la unidad original por otra precargada con software malicioso.

El FBI detalla otros vectores, como la utilización de dispositivos externos conectados vía USB. Los delincuentes aprovechan estas brechas para cargar sus programas y reiniciar el cajero, dejando a la máquina lista para dispensar efectivo bajo sus órdenes.

Indicadores de compromiso (IOC) y señales de alerta para detectar el ‘jackpotting’

La agencia federal ofrece una lista precisa de indicadores observados en cajeros comprometidos. Entre los archivos sospechosos se encuentran ejecutables como Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, así como scripts y archivos de configuración como C.dat y Restaurar.bat.

Es pertinente señalar que también se detectan directorios recién creados y múltiples hashes MD5 asociados a estos artefactos.

Además, el FBI alerta sobre el uso no autorizado de herramientas de acceso remoto, especialmente TeamViewer y AnyDesk, y recomienda vigilar la creación de servicios personalizados y autoejecutables en ubicaciones inusuales del sistema operativo, lo que puede indicar persistencia maliciosa.

En cuanto a los indicadores físicos, se subraya la importancia de monitorizar eventos de inserción de dispositivos USB, la presencia de teclados o hubs USB no reconocidos, alertas de apertura de puertas fuera del horario de mantenimiento, estados anómalos de efectivo y la retirada inesperada de discos duros.

Recomendaciones del FBI para prevenir el ‘jackpotting’ en cajeros automáticos

La guía de mitigación proporcionada por el FBI abarca tanto medidas técnicas como físicas. En primer lugar, recomienda validar periódicamente los archivos y hashes de los cajeros contra una “imagen de oro” de referencia, tratando cualquier desviación como sospechosa, sobre todo si involucra binarios no firmados o recientemente introducidos.

El control del uso de medios extraíbles resulta clave: se aconsejan políticas estrictas de auditoría, supervisión del acceso a archivos y detección de procesos de montaje de unidades externas.

Para el hardware, el FBI sugiere actualizar las cerraduras, instalar alarmas en los paneles de servicio, añadir sensores para detectar movimientos o temperaturas inusuales y asegurar que las cámaras cubran correctamente el área del cajero, almacenando las grabaciones el tiempo suficiente para que sean útiles en una investigación.

Otras medidas incluyen el uso de listas blancas para bloquear hardware no autorizado, comprobaciones de integridad del firmware —incluidas verificaciones basadas en TPM en el arranque— y el cifrado de discos duros, con el fin de dificultar la introducción de malware mediante la manipulación de las unidades fuera del entorno seguro del cajero.