AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Desmantelada una red criminal que utilizó el malware Ploutus para vaciar cajeros automáticos en EE.UU.

admin

Introducción

El Departamento de Justicia de Estados Unidos (DoJ) ha anunciado esta semana la imputación de 54 personas presuntamente vinculadas a una sofisticada y lucrativa campaña de jackpotting contra cajeros automáticos (ATMs) en todo el país. La operación, que según las autoridades habría generado pérdidas millonarias, pone de manifiesto el alto grado de especialización de los grupos de cibercrimen y la creciente utilización de herramientas avanzadas como el malware Ploutus para comprometer infraestructuras financieras críticas.

Contexto del Incidente

La investigación, resultado de una colaboración entre agencias federales y cuerpos de seguridad estatales, ha sacado a la luz una conspiración a gran escala organizada por miembros de la organización criminal internacional conocida como Tren de Aragua (TdA). Este grupo, originario de Sudamérica, ha expandido sus actividades ilícitas hasta América del Norte, centrando sus esfuerzos en la manipulación masiva de cajeros automáticos mediante técnicas de jackpotting, una variante de ataque físico y lógico que permite extraer grandes sumas de efectivo en cuestión de minutos.

Detalles Técnicos: Malware Ploutus y Tácticas Avanzadas

El vector principal de ataque identificado ha sido el despliegue del malware Ploutus, conocido desde 2013 y actualizado periódicamente para evadir mecanismos de detección y afectar diversos modelos de cajeros, especialmente los fabricados por Diebold Nixdorf y NCR. En esta campaña, los atacantes accedían físicamente a los ATMs—bien utilizando llaves maestras, suplantación de técnicos de mantenimiento o mediante la manipulación de puertos USB internos—para instalar la variante Ploutus-D.

El flujo de ataque se alinea con las TTPs categorizadas en el framework MITRE ATT&CK, destacando las siguientes técnicas:

– **TA0006 – Credential Access:** Obtención y abuso de credenciales de administración del ATM.
– **TA0009 – Collection:** Acceso y manipulación del software interno del cajero.
– **TA0040 – Impact:** Uso de malware para forzar la dispensación de efectivo.

Una vez infectado, Ploutus permite el control remoto del ATM mediante comandos SMS, teclado externo o interfaz de red, habilitando la extracción de fondos sin necesidad de tarjetas o credenciales válidas. Los IoC publicados incluyen hashes de archivos, direcciones IP de C2 y patrones de tráfico SMS anómalos.

Impacto y Riesgos

Las autoridades calculan que el perjuicio económico supera los 5 millones de dólares en menos de un año, afectando a entidades bancarias regionales y grandes cadenas de distribución. El jackpotting automatizado incrementa notablemente el riesgo operativo para los bancos, ya que permite el vaciado completo de un ATM en menos de 10 minutos, evadiendo en numerosos casos los sistemas de monitorización y respuesta.

A nivel europeo y español, aunque la incidencia documentada es menor, el riesgo de réplica es significativo, ya que los modelos de ATM afectados son ampliamente utilizados y el malware Ploutus cuenta con variantes multilingües y scripts de automatización compatibles con frameworks como Metasploit y Cobalt Strike.

Medidas de Mitigación y Recomendaciones

Para los responsables de ciberseguridad en entidades financieras y operadores de red de cajeros, se recomienda:

– Actualización inmediata de firmware y software de los ATMs a versiones no vulnerables.
– Implementación de whitelisting de aplicaciones y bloqueo de puertos físicos no autorizados.
– Monitorización avanzada de logs y eventos, con detección de patrones anómalos (IoC específicos).
– Refuerzo de controles físicos (blindaje, alarmas, videovigilancia) y procedimientos de autenticación de técnicos.
– Segmentación de red y desactivación de interfaces de administración remotas no esenciales.
– Simulacros de respuesta ante incidentes de jackpotting, integrando escenarios de malware y manipulación física.

Opinión de Expertos

Según Marta Llorente, analista principal de amenazas en S21sec, “Este caso demuestra que la convergencia entre ataque físico y lógico es cada vez más común, obligando a los bancos a no confiar únicamente en medidas perimetrales digitales. El uso de malware como Ploutus, que evoluciona constantemente, hace imprescindible una política de defensa en profundidad y una colaboración fluida entre equipos de seguridad física y TI”.

Implicaciones para Empresas y Usuarios

Las entidades afectadas pueden exponerse no solo a pérdidas económicas directas, sino también a sanciones regulatorias bajo normativas como la GDPR y las nuevas directrices de la NIS2, que exigen la protección efectiva de infraestructuras críticas y la notificación rápida de incidentes. Para el usuario final, el riesgo de robo de efectivo en cajeros podría traducirse en limitaciones temporales de servicio y una mayor supervisión de transacciones sospechosas.

Conclusiones

La operación coordinada por el DoJ supone un golpe importante contra el cibercrimen financiero, pero también evidencia la profesionalización y el alcance internacional de los grupos dedicados al jackpotting. La rápida evolución de herramientas como Ploutus obliga a las organizaciones a reforzar sus estrategias de ciberdefensa, integrando tecnologías de detección avanzada, controles físicos y formación continua de sus equipos. El caso sirve como aviso claro de que la protección de los ATMs debe considerarse una prioridad estratégica en el actual panorama de amenazas.

(Fuente: feeds.feedburner.com)