Hackear (en este caso crackear) cajeros automáticos no es algo nuevo, existen varios métodos y técnicas que permiten desde clonar las tarjetas de los usuarios hasta robar su información o acceder al sistema de la máquina.

Este es el caso del Jackpotting, una técnica que vuelve a estar a la orden del día y permite vaciar los cajeros automáticos mediante la instalación de un malware. Recientes investigaciones revelan que se está convirtiendo en un problema mundial. 

El método que generó un gran impacto en 2017 cuando cajeros automáticos en diferentes puntos de Alemania expulsaban dinero real provocando una gran pérdida millonaria a los bancos. Piratas informáticos se hicieron con más de un millón de euros.

Esa vez, un empleado de banco que se dio cuenta de lo que estaba haciendo el cajero de Freiburg, Alemania, se acercó y vio que en la pantalla táctil había la imagen de un chef cocinando un pedazo de carne y un mensaje enorme: “Ho-ho-ho! Let’s make some cutlets today”. Un aparente juego de palabras ruso en el que chuleta se utiliza como sinónimo de fajo de billetes.

¿Qué estaba pasando?

No, no se trata de la revolución de las máquinas, sino de que el cajero había sido infectado con un malware llamado Cutlet Maker, diseñado expresamente para provocar que un dispositivo ATM expulse todo el dinero que guarda en su interior.

Una investigación conjunta entre el medio especializado Motherboard y la emisora alemana Bayerischer Rundfunk (BR) ha descubierto nuevos detalles sobre el malware que protagonizó entonces una serie de ataques en Alemania.

La infección con el virus informático provoca que los cajeros escupan todo el dinero que almacenan sin necesidad de usar una tarjeta de crédito robada. Los primeros ataques se detectaron en Europa, pero en los últimos años se han registrado más incidentes en Estados Unidos y América Latina.

Para saltarse las restricciones, los cibercriminales introducen un malware en el cajero automático para engañarlo y que expulse todo su efectivo, por lo que no se requiere de una tarjeta de crédito. Los piratas suelen instalar el virus informático abriendo físicamente un panel en la máquina y colocando un puerto USB con los archivos infectados. Por medio de esta técnica también se ha robado dinero en metálico en ciudades de México o Estados Unidos en los últimos años.

Para ejecutar el ataque se requiere acceso físico al cajero, por lo que algunos hackers se han hecho pasar por técnicos de mantenimiento para así poder trabajar sin problemas. Necesitan instalar un malware en el sistema usando componentes electrónicos especializados, lo que permite controlar las operaciones del cajero y así poder extraer dinero a un ritmo de 40 billetes cada 23 segundos hasta vaciarlo.

Debido a la complejidad, algunos atacantes usan endoscopios para ubicar un componente interno del cajero donde deberán conectarse para desplegar el malware. Algo que no es nada sencillo, pero la recompensa ha hecho que valga la pena para muchos de ellos.

Los expertos aseguran que implementar medidas de seguridad para evitar ese primer acceso físico podría prevenir el ataque por completo. El problema, además, afecta a los bancos y fabricantes de cajeros automáticos en toda la industria. Emplean, en su mayoría, sistemas operativos obsoletos como Windows NT o Windows 7. Aunque en momentos puntuales, cibercriminales lo han utilizado en los últimos tiempos demostrando, incluso, que no revierte demasiada complejidad.

De hecho, durante la Conferencia Anual de Seguridad Cibernética Black Hat, en 2010, el fallecido investigador Barnaby Jack hizo una demostración en vivo en el escenario mediante su propia variedad de malware, dejando a todos absortos. Ahora, se han detectado ataques similares en ciudades alemanas.

La investigación de Motherboard y BR, en la que la mayoría de las fuentes han participado de forma anónima, revela que el jackpotting se está convirtiendo en una epidemia mundial que se hace con millones de euros en pocos ataques.

Thiago Marques, investigador en Kaspersky Lab, explica que Ploutus, una de las versiones de este malware más conocidas, lleva en activo desde 2013 y ha supuesto pérdidas de más de 64 millones de dólares. Por otro lado, Christoph Hebbecker, abogado alemán, asegura que cree que el autor detrás de todos los ataques que sufrió Alemania en 2017 es un mismo grupo criminal.

El jackpotting no ataca un único tipo de entidad bancaria ni a los cajeros específicos de un fabricante, todos son susceptibles de sufrir un ataque de Ploutus. Según la investigación, esto se debe a que uno de los grandes problemas de todos los cajeros que les hace tan vulnerable a estos problemas de seguridad es que son, en esencia, ordenadores Windows muy viejos.

Además, una fuente anónima señala otro gran problema a la hora de enfrentarse al jackpotting: los afectados no quieren denunciar. Un informe del año pasado asegura que los incidentes con este malware se han reducido en un 43%, pero el experto anónimo subraya que esa información se refiere solo a Europa.

La venta de este malware en la dark web es un lucrativo negocio en el que algunas personas están dispuestas a pagar sumas millonarias por hacerse con una de estas armas virtuales.  No iba a ser distinto con el jackpotting.

«Los malos están vendiendo este malware a cualquiera», explica David Sancho, investigador principal de amenazas de la empresa de ciberseguridad Trend Micro, que trabaja con la Europol.

«Potencialmente esto puede afectar a cualquier país del mundo», añade Sancho.

 

Motherboard se puso en contacto por internet con uno de los cibercriminales que venden el malware y la oferta, que vendía el virus por 1.000 dólares, incluía un manual para instalarlo e incluso instrucciones para saber cómo averiguar cuánto dinero contiene el cajero.