AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### El FBI alerta de un aumento récord en ataques de «jackpotting» a cajeros automáticos: más de 20 millones de dólares en pérdidas

admin

#### Introducción

El Buró Federal de Investigaciones (FBI) ha emitido una advertencia dirigida a entidades financieras estadounidenses tras constatar un repunte sin precedentes en los ataques de «jackpotting» a cajeros automáticos (ATMs). Según el informe, durante el año pasado las pérdidas por este tipo de incidentes superaron los 20 millones de dólares, cifra que representa un incremento significativo respecto a años anteriores. El «jackpotting» consiste en la manipulación de ATMs para forzarlos, mediante malware y técnicas avanzadas de intrusión, a dispensar efectivo de manera ilícita.

#### Contexto del Incidente

El «jackpotting» no es una técnica nueva, pero en 2023 y principios de 2024 ha experimentado una sofisticación notable, tanto en vectores de ataque como en herramientas utilizadas. Originada en Europa y Asia a principios de la década pasada, esta modalidad delictiva llegó a Estados Unidos en 2018, pero ha sido en los últimos 18 meses cuando se ha producido un salto cuantitativo y cualitativo. El FBI destaca que el aumento de ataques coincide con la proliferación de tutoriales en foros clandestinos y la disponibilidad de kits de exploit comercializados en la dark web.

El perfil de las víctimas abarca desde pequeñas cooperativas de crédito hasta grandes entidades bancarias, afectando tanto a cajeros independientes como a redes de entidades financieras. Los ataques suelen concentrarse en ATMs desatendidos o localizados en áreas con menor vigilancia física.

#### Detalles Técnicos

Desde el punto de vista técnico, el «jackpotting» se apoya en dos grandes enfoques: el acceso físico directo al hardware del ATM y la explotación remota mediante vulnerabilidades del software operativo.

**Vectores de ataque identificados:**

– **Acceso físico:** Los atacantes emplean dispositivos USB o placas de desarrollo (como Raspberry Pi) para conectar directamente con los puertos internos del ATM. Una vez acceden al panel de servicio, introducen malware especializado como Ploutus.D, Cutlet Maker o Tyupkin.
– **Ingeniería social y phishing:** Casos recientes revelan campañas dirigidas a empleados de mantenimiento de ATMs, buscando el robo de credenciales o la obtención de llaves maestras.
– **Ataques remotos:** Aprovechan vulnerabilidades en sistemas operativos obsoletos (Windows XP Embedded, Windows 7) presentes en más del 35% de los ATMs estadounidenses, según datos de 2023.

**CVE destacadas y TTPs según MITRE ATT&CK:**
– **CVE-2017-6968:** Vulnerabilidad en el software de administración de ATMs.
– **T1078 (Valid Accounts), T1068 (Exploitation for Privilege Escalation), T1110 (Brute Force):** Técnicas de MITRE ATT&CK observadas en incidentes analizados.
– **IoC (Indicadores de Compromiso):** Presencia de archivos ejecutables no firmados en directorios de sistema, logs de acceso físico fuera de horario y tráfico de red anómalo hacia servidores de C2.

**Herramientas y frameworks utilizados:**
– Exploits integrados en Metasploit para escaneo y explotación de ATMs.
– Uso de Cobalt Strike y frameworks personalizados para persistencia y movimiento lateral.

#### Impacto y Riesgos

El impacto económico directo supera los 20 millones de dólares en el último año, con un promedio de 100.000 a 500.000 dólares extraídos por ataque. Indirectamente, las entidades afectadas deben afrontar gastos asociados a la investigación forense, actualización de equipos y cumplimiento normativo (GDPR, NIS2 en la UE, aunque la normativa estadounidense es menos restrictiva en este aspecto).

Los ataques de «jackpotting» representan, además, un riesgo reputacional considerable y pueden derivar en sanciones regulatorias si se demuestra negligencia en la protección de infraestructuras críticas.

#### Medidas de Mitigación y Recomendaciones

El FBI y organizaciones como la FS-ISAC recomiendan implementar una defensa en profundidad basada en:

– **Actualización obligatoria de sistemas operativos:** Migrar a Windows 10 IoT o versiones superiores, eliminando sistemas legacy.
– **Hardening físico:** Refuerzo de cerraduras, sensores de apertura y cámaras CCTV en todos los puntos de acceso de ATMs.
– **Segmentación de red y monitorización:** Separar la red de ATMs del resto de la infraestructura bancaria y desplegar sistemas de detección de intrusiones (IDS) con reglas específicas para tráfico anómalo.
– **Respuesta ante incidentes:** Establecer protocolos de apagado remoto y análisis forense en tiempo real.
– **Concienciación y formación:** Programas de formación para empleados y técnicos de mantenimiento sobre tácticas de ingeniería social y mejores prácticas de seguridad física.

#### Opinión de Expertos

Especialistas en ciberseguridad, como Brian Krebs y analistas de Kaspersky, coinciden en que el auge del «jackpotting» es consecuencia de la obsolescencia tecnológica y la falta de inversión sostenida en seguridad física y lógica de los cajeros automáticos. «Mientras existan ATMs ejecutando software sin soporte y con acceso físico deficiente, los ataques seguirán creciendo tanto en número como en sofisticación», advierte un analista de amenazas de ESET.

#### Implicaciones para Empresas y Usuarios

Para las entidades financieras, el reto es doble: proteger la infraestructura y mantener la confianza del cliente. La tendencia al alza de estos ataques exige inversiones inmediatas en modernización de hardware, despliegue de tecnologías de autenticación multifactor y auditorías periódicas de seguridad. Los usuarios, por su parte, deben ser conscientes de los riesgos asociados al uso de ATMs en ubicaciones no supervisadas y reportar cualquier anomalía observada.

#### Conclusiones

El repunte de ataques de «jackpotting» a cajeros automáticos pone de manifiesto la necesidad urgente de actualizar y proteger estos sistemas críticos. La convergencia de técnicas físicas y lógicas, sumada a la amplia disponibilidad de herramientas en el mercado clandestino, hace que la amenaza sea especialmente relevante en el actual contexto de transformación digital bancaria. Solo una combinación de hardening tecnológico, formación y monitorización constante podrá reducir el riesgo y mitigar las consecuencias de este tipo de incidentes.

(Fuente: www.bleepingcomputer.com)