AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Dos ciudadanos venezolanos serán deportados tras explotar cajeros automáticos en un masivo esquema de jackpotting en EE.UU.

admin

#### 1. Introducción

El Departamento de Justicia de los Estados Unidos ha confirmado la condena y posterior deportación de dos ciudadanos venezolanos responsables de una campaña de jackpotting contra cajeros automáticos (ATMs) en el estado de Carolina del Sur. El caso pone en relieve la sofisticación creciente de los ataques a infraestructuras financieras críticas y la urgencia de reforzar las medidas de ciberseguridad en el sector bancario frente a amenazas transnacionales.

#### 2. Contexto del Incidente

El incidente, perseguido por fiscales federales en Carolina del Sur, involucra una serie de ataques coordinados realizados entre 2022 y 2023, en los que los acusados manipularon físicamente y a nivel de software cajeros automáticos pertenecientes a varias entidades bancarias estadounidenses. El objetivo: forzar la dispensación ilícita de efectivo, en una táctica conocida como jackpotting. El monto total sustraído asciende a varios cientos de miles de dólares, afectando tanto a bancos regionales como nacionales.

El esquema no es aislado: en los últimos años, se ha registrado un incremento del 25% en ataques de jackpotting en Norteamérica, con bandas organizadas—principalmente de origen latinoamericano y europeo del Este—que aprovechan vulnerabilidades técnicas y operativas en los dispositivos ATM.

#### 3. Detalles Técnicos

**Vulnerabilidad y CVE asociadas:**
Aunque el Departamento de Justicia no ha detallado los modelos concretos de cajeros afectados, fuentes abiertas y análisis forenses de incidentes similares apuntan a vulnerabilidades en sistemas operativos Windows Embedded y Linux embebidos en los ATMs—particularmente versiones desactualizadas y sin parches de Windows 7/XP. Entre las CVE relevantes destacan:

– **CVE-2017-0176**: Escalada de privilegios en Windows Embedded POSReady.
– **CVE-2010-2568**: Ejecución remota de código a través de LNK en Windows.

**Vector de ataque y TTPs (MITRE ATT&CK):**
Los atacantes emplearon acceso físico al ATM para conectar dispositivos USB o hardware especializado, cargando malware como Ploutus.D o Cutlet Maker. Una vez comprometido el sistema, utilizaron comandos para instruir al ATM que dispensara efectivo («cash-out»). Los TTPs observados pueden mapearse a:

– **T1195 (MITRE ATT&CK): Supply Chain Compromise** (modificación de software/hardware de ATM).
– **T1059 (Command and Scripting Interpreter):** Ejecución de scripts maliciosos en el sistema ATM.
– **T1005 (Data from Local System):** Recolección de información de configuración y logs de los dispositivos.

**IoCs y Herramientas:**
Indicators of Compromise (IoCs) recuperados incluyen hashes de malware conocidos, logs de acceso físico no autorizado y registros de comandos sospechosos en los sistemas ATM. Se han identificado herramientas como Metasploit Framework para explotación inicial y variantes del malware Ploutus y WinPot para la fase de jackpotting.

#### 4. Impacto y Riesgos

El impacto directo se traduce en pérdidas económicas cuantificadas en cientos de miles de dólares para las instituciones bancarias afectadas, además de potenciales daños reputacionales y costes asociados a la auditoría y reemplazo de hardware comprometido. Según estimaciones de la European Association for Secure Transactions (EAST), el coste promedio de un ataque exitoso de jackpotting oscila entre 50.000 y 150.000 dólares por dispositivo.

A nivel de riesgo, el incidente revela carencias en la gestión de parches, monitorización de logs y controles de acceso físico en muchos cajeros desplegados. La mayor parte operaba con sistemas sin soporte oficial o sin actualizaciones recientes, incumpliendo recomendaciones PCI DSS y lineamientos de la NIS2 Directive de la UE, de obligada transposición en 2024.

#### 5. Medidas de Mitigación y Recomendaciones

Entre las contramedidas recomendadas se encuentran:

– **Actualización y parcheo inmediato** de sistemas operativos y firmware de cajeros automáticos.
– **Implementación de cifrado de disco completo** y autenticación multifactor para acceso administrativo.
– **Segmentación de red** y aislamiento de los ATMs de otras infraestructuras críticas.
– **Monitoreo proactivo de eventos** sospechosos mediante SIEM y correlación de logs de acceso físico y lógico.
– **Formación y concienciación** al personal encargado del mantenimiento de ATMs sobre técnicas de ingeniería social y amenazas físicas.

Los bancos deben además revisar su cumplimiento con la normativa GDPR en materia de protección de datos personales procesados en ATMs y prepararse para los requisitos adicionales de la directiva NIS2 sobre infraestructuras críticas.

#### 6. Opinión de Expertos

Analistas de Threat Intelligence señalan que “los ataques de jackpotting han pasado de ser experimentos aislados a campañas organizadas y altamente lucrativas, impulsadas por la disponibilidad de malware especializado en foros clandestinos y kits de explotación accesibles incluso para actores con conocimientos técnicos medios”.

Expertos en ciberseguridad financiera, como los de ISACA y SANS Institute, recalcan la urgencia de migrar los cajeros aún operativos con software obsoleto y fortalecer la colaboración transnacional entre fuerzas de seguridad y CERTs para el intercambio de IoCs y TTPs emergentes.

#### 7. Implicaciones para Empresas y Usuarios

Para las entidades financieras, este incidente representa una llamada de atención sobre la importancia de la gestión integral de riesgos tecnológicos y físicos. El refuerzo de controles técnicos debe ir acompañado de auditorías periódicas y simulacros de intrusión (Red Teaming/Purple Teaming) que permitan validar la resiliencia de los ATMs ante escenarios de ataque realistas.

Para los usuarios, aunque el impacto directo suele limitarse a la indisponibilidad temporal de los cajeros afectados, la proliferación de estos ataques puede derivar en mayores restricciones de acceso al efectivo y en la adopción forzada de medios digitales, con los riesgos de exclusión financiera asociados.

#### 8. Conclusiones

La condena y deportación de los dos ciudadanos venezolanos demuestra el alcance global de las amenazas contra la infraestructura bancaria y la necesidad de una respuesta coordinada entre entidades públicas y privadas. La tendencia al alza de los ataques de jackpotting subraya la importancia de la actualización tecnológica, la vigilancia continua y la cooperación internacional para proteger el ecosistema financiero frente a actores cada vez más sofisticados.

(Fuente: www.bleepingcomputer.com)