Ataques jackpot permiten retirar hasta 40 billetes cada 23 segundos de un ATM
El "jackpotting" de cajeros automáticos es un delito sofisticado en el que los ladrones instalan software y/o hardware malicioso en cajeros automáticos que obliga a las máquinas a entregar grandes volúmenes de dinero en efectivo, y ha sido una amenaza para los bancos de Europa y Asia, principalmente.
Esta semana el Servicio Secreto de EE. UU. silenciosamente comenzó a advertir a las instituciones financieras que se han detectado ataques de este tipo dirigidos a cajeros automáticos en ese país.
Para llevar a cabo un ataque de jackpot, los ladrones primero deben obtener acceso físico al cajero automático. Desde allí pueden usar malware o productos electrónicos especializados, a menudo una combinación de ambos, para controlar las operaciones del cajero automático.
El 21 de enero de 2018, KrebsOnSecurity comenzó a escuchar rumores sobre los ataques de jackpotting, también conocidos como "ataques lógicos", afectando a los cajeros automáticos estadounidenses. “Rápidamente contacté al gigante de cajeros automáticos NCR Corp. para ver si habían escuchado algo”. NCR dijo que en ese momento había recibido informes no confirmados, pero nada confiable todavía.
El 26 de enero, NCR envió un aviso a sus clientes diciendo que habían recibido informes del Servicio Secreto y otras fuentes acerca de los ataques jackpots contra cajeros automáticos en los Estados Unidos.
"Si bien en la actualidad parecen estar enfocados en cajeros automáticos no pertenecientes a NCR, los ataques lógicos son un problema de toda la industria", dice la alerta de NCR. "Esto representa uno de los primeros casos confirmados de pérdidas debidas a ataques lógicos en los EE. UU. Esto debe ser tratado como un llamado de atención para tomar las medidas adecuadas para proteger sus cajeros automáticos contra estas formas de ataque y mitigar sus consecuencias ".
La nota de NCR no menciona el tipo de malware de jackpot utilizado contra los cajeros automáticos de EE. UU. Pero una fuente cercana al asunto dijo que el Servicio Secreto está advirtiendo que las bandas criminales organizadas han estado atacando cajeros automáticos independientes en los Estados Unidos usando "Ploutus.D", una cepa avanzada de malware que se vio por primera vez en 2013.
Según esa fuente, que pidió permanecer en el anonimato porque no estaba autorizado a hablar en una grabación, el Servicio Secreto ha recibido información creíble de que los delincuentes están activando los denominados "equipos de retiro de efectivo" para atacar a los cajeros automáticos de carga frontal fabricados por el proveedor de cajeros automáticos Diebold Nixdorf.
La fuente dijo que el Servicio Secreto advierte que los ladrones apuntan a los cajeros automáticos Dielbold de la serie Opteva 500 y 700 usando el malware Ploutus.D en una serie de ataques coordinados en los últimos 10 días, y que hay evidencia de que se están planeando nuevos ataques a lo largo del país norteamericano.
"Los cajeros automáticos autónomos específicos se ubican de manera rutinaria en las farmacias, tiendas Big Box y los cajeros automáticos drive-thru", dice una alerta confidencial del Servicio Secreto enviada a múltiples instituciones financieras y obtenida por KrebsOnSecurity. "Durante los ataques anteriores, los estafadores se vestían como técnicos de ATM y conectaban una computadora portátil con una imagen del sistema operativo de los cajeros automáticos junto con un dispositivo móvil al cajero automático objetivo".
Diebold compartió una alerta que envió a los clientes el viernes advirtiendo sobre potenciales ataques de jackpot en los Estados Unidos. La alerta de Diebold confirma que los ataques hasta ahora parecen estar dirigidos a los cajeros automáticos de Opteva con carga frontal.
"Como en México el año pasado, el modo de ataque implica una serie de pasos diferentes para superar el mecanismo de seguridad y el proceso de autorización para establecer la comunicación con el dispensador (de efectivo)", dice la alerta de seguridad de Diebold. Una copia de toda la alerta de Diebold, completa con consejos sobre cómo mitigar estos ataques, está disponible aquí.
La alerta del Servicio Secreto explica que los atacantes suelen utilizar un endoscopio, un instrumento delgado y flexible que se usa tradicionalmente en medicina para mirar al interior del cuerpo humano, y con ella localizar la parte interna del cajero automático donde pueden conectar un cable que les permita sincronizar su computadora portátil con la computadora del cajero automático.
"Una vez que esto esté completo, el cajero automático estará controlado por los estafadores y el cajero automático aparecerá fuera de servicio para los clientes potenciales", dice la alerta confidencial del Servicio Secreto.
En este punto, los delincuentes que instalan el malware se pondrán en contacto con los conspiradores que pueden controlar remotamente los cajeros automáticos y forzar a las máquinas a dispensar efectivo.
"En ataques anteriores de Ploutus.D, el cajero automático distribuía continuamente a una velocidad de 40 billetes cada 23 segundos", continúa la alerta. Una vez que se inicia el ciclo de dispensación, la única manera de detenerlo es presionar cancelar en el teclado. De lo contrario, la máquina quedará completamente vacía de efectivo, de acuerdo con la alerta.
Un análisis de 2017 de Ploutus.D por la firma de seguridad FireEye lo llamó "una de las familias de malware para cajeros automáticos más avanzadas que hemos visto en los últimos años". 
"Descubierto por primera vez en México en 2013, Ploutus permitió a los delincuentes vaciar los cajeros automáticos utilizando un teclado externo conectado a la máquina o mediante mensajes SMS, una técnica que nunca se había visto antes", escribió Daniel Regalado de FireEye.
Según FireEye, los ataques de Ploutus vistos hasta ahora requieren que los ladrones obtengan acceso físico a un cajero automático de alguna manera, ya sea quitándose las cerraduras, utilizando una llave maestra robada o destruyendo parte de la máquina.
Regalado dice que las bandas criminales típicamente responsables de estos ataques despliegan "mulas de dinero" para llevar a cabo los ataques y extraer efectivo de los cajeros automáticos. El término se refiere a los operadores de bajo nivel dentro de una organización criminal a los que se les asignan trabajos de alto riesgo, tales como la manipulación de cajeros automáticos y la instalación de skimmers.
"A partir de ahí, los atacantes pueden conectar un teclado físico para acceder a la máquina y [usar] un código de activación proporcionado por el jefe a cargo de la operación para dispensar dinero del cajero automático", escribió. "Una vez desplegado en un cajero automático, Ploutus hace posible que los delincuentes obtengan miles de dólares en minutos. Si bien hay algunos riesgos de que la mula de dinero sea atrapada por las cámaras, la velocidad con la que se lleva a cabo la operación minimiza el riesgo de la mula ".
De hecho, el memorando del Servicio Secreto compartido por mi fuente dice que las mulas retiran el efectivo dispensado y lo colocan en una bolsa grande. Después de que se toma el efectivo del cajero automático y la mula se va, los técnicos falsos vuelven al sitio y retiran su equipo del cajero automático comprometido.
"Lo último que hacen los defraudadores antes de abandonar el sitio es volver a enchufar el cable Ethernet", señala la alerta.
FireEye dijo que todas las muestras de Ploutus.D estaban dirigijos hacia cajeros automáticos Diebold, pero advirtió que pequeños cambios en el código del malware podrían permitir su uso contra 40 marcas distintas de cajeros automáticos en 80 países.
La alerta del Servicio Secreto dice que los cajeros automáticos que todavía ejecutan Windows XP son particularmente vulnerables, e instó a los operadores de ATM a actualizar a una versión de Windows 7 para mitigar este tipo de ataque.
Esta es una historia en rápido desarrollo y puede actualizarse varias veces en los próximos días a medida que haya más información disponible.