[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/21\/jackpotting\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/21\/jackpotting\/","headline":"Jackpotting, otra t\u00e9cnica para robar en cajeros autom\u00e1ticos","name":"Jackpotting, otra t\u00e9cnica para robar en cajeros autom\u00e1ticos","description":"Descubre qu\u00e9 es el jackpotting, a qui\u00e9n afecta, qu\u00e9 m\u00e9todos usa, tipos de malware y c\u00f3mo protegernos de estos ataques \u00a1Toda la informaci\u00f3n aqu\u00ed!","datePublished":"2021-07-21","dateModified":"2021-07-19","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/06\/jackpotting.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/06\/jackpotting.jpg","height":1000,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/21\/jackpotting\/","about":["CIBERSEGURIDAD"],"wordCount":2288,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              El malware de jackpotting no es muy conocido porque se dirige exclusivamente a los cajeros autom\u00e1ticos. Esto significa que, por lo general, no afecta directamente a un gran n\u00famero de personas. Sin embargo, este tipo de malware puede da\u00f1ar gravemente la reputaci\u00f3n y la estabilidad financiera de los bancos propietarios de los cajeros autom\u00e1ticos pirateados. Por ejemplo, entre febrero y noviembre de 2017, se llevaron a cabo al menos 10 ataques de jackpot en el estado alem\u00e1n de Renania del Norte-Westfalia. Como resultado de esos ataques, los piratas inform\u00e1ticos robaron 1,4 millones de euros. En este art\u00edculo, examinaremos dos de los tipos m\u00e1s conocidos de malware de jackpotting, Ploutus y Cutlet Maker. Tambi\u00e9n analizaremos el funcionamiento del malware de jackpotting y brindaremos recomendaciones sobre c\u00f3mo los bancos pueden protegerse contra \u00e9l.\u00bfQu\u00e9 es jackpotting?\u00bfQui\u00e9nes se han visto afectados por esta t\u00e9cnica?\u00bfQu\u00e9 m\u00e9todos o malware usan los atacantes?PloutusCutlet Maker\u00bfPor qu\u00e9 el jackpotting es tan peligroso?Protecci\u00f3n contra el malware de jackpottingWinPot, una herramienta inspirada en el jackpotting\u00bfQu\u00e9 es jackpotting?El jackpotting es uno de los m\u00e9todos destacados utilizados por los ciberdelincuentes para invadir y robar en cajeros autom\u00e1ticos. Los delincuentes utilizan la vulnerabilidad de hardware y software de un cajero autom\u00e1tico para salirse con la suya. Adjuntar el software malicioso junto con el hardware a los cajeros autom\u00e1ticos permite el jackpot, lo que obliga al cajero autom\u00e1tico a distribuir el dinero.Usar los objetivos m\u00e1s d\u00e9biles y el enga\u00f1o limitar\u00e1 las posibilidades de que los delincuentes queden atrapados en el proceso. Los delincuentes pueden disfrazarse como personal para evitar la inspecci\u00f3n y entrar en los cajeros autom\u00e1ticos. Los cajeros autom\u00e1ticos en el servicio y los puntos de venta, junto con los cajeros autom\u00e1ticos independientes que est\u00e1n lejos de la monitorizaci\u00f3n y la vigilancia, son objetivos m\u00e1s sensibles del jackpotting. Los ciberdelincuentes a menudo se dirigen a m\u00e1quinas m\u00e1s antiguas que no se actualizan con frecuencia.El jackpotting, tambi\u00e9n conocido como \u00abataques l\u00f3gicos\u00ab, simplemente significa que los ladrones cibern\u00e9ticos instalan f\u00edsicamente malware en los cajeros autom\u00e1ticos, lo que les da control sobre la cantidad de dinero que se distribuye en un momento dado.Los instaladores de malware han sido inteligentes y han utilizado endoscopios (dispositivos m\u00e9dicos estrechos en forma de tubo con c\u00e1maras en los extremos que normalmente se utilizan para ver el interior del cuerpo humano) para mirar dentro de cada cajero autom\u00e1tico. Una vez que encuentran un lugar para conectar un cable de computadora, sincronizan sus computadoras port\u00e1tiles con la computadora de la m\u00e1quina.\u00bfQui\u00e9nes se han visto afectados por esta t\u00e9cnica?El jackpotting en cajeros autom\u00e1ticos ha sido durante mucho tiempo una amenaza para los bancos en Europa y Asia, pero estos ataques de alguna manera han eludido a los operadores de cajeros autom\u00e1ticos de EE.UU., ahora se han detectado ataques de jackpotting contra cajeros autom\u00e1ticos en Estados Unidos.El Servicio Secreto advierte que los ladrones parecen estar apuntando a los cajeros autom\u00e1ticos Dielbold de las series Opteva 500 y 700 utilizando el malware Ploutus.D en una serie de ataques coordinados, y que hay evidencia de que se est\u00e1n planeando m\u00e1s ataques. a trav\u00e9s del pa\u00eds.El primer ataque de jackpotting en cajeros autom\u00e1ticos fue en 2013 en M\u00e9xico . El malware, llamado Ploutus, fue identificado como una de las familias de malware para cajeros autom\u00e1ticos m\u00e1s avanzadas en los \u00faltimos a\u00f1os.Una de las razones por las que los ataques tardaron m\u00e1s en extenderse a Estados Unidos es porque puede haber sido m\u00e1s f\u00e1cil salirse con la suya robando cajeros autom\u00e1ticos y sobornando a personas en Am\u00e9rica Latina que en Estados Unidos.Este tipo particular de ciberdelito se ha observado durante a\u00f1os en Europa y en Asia. Pero resulta que uno de los primeros casos de jackpotting en cajeros autom\u00e1ticos no fue en realidad un delito. El famoso pirata inform\u00e1tico de \u00absombrero blanco\u00bb Barnaby Jack, quien falleci\u00f3 en 2013, demostr\u00f3 c\u00f3mo se pueden explotar las vulnerabilidades de los cajeros autom\u00e1ticos en un esfuerzo por crear conciencia sobre el jackpot.Los ciberdelincuentes han llevado a cabo algunos ataques asombrosos. En julio de 2016, presuntos ciudadanos rusos retiraron un total de 2,2 millones de d\u00f3lares de docenas de cajeros autom\u00e1ticos en Taiw\u00e1n pertenecientes a First Bank. Unas semanas m\u00e1s tarde, en Tailandia, tres grupos de hombres que trabajaban en seis provincias ordenaron a 21 cajeros autom\u00e1ticos que devolvieran un total de 12 millones de baht (350.000 d\u00f3lares).\u00bfQu\u00e9 m\u00e9todos o malware usan los atacantes?El primer paso hacia la operaci\u00f3n exitosa del malware de jackpotting es obtener acceso f\u00edsico al cajero autom\u00e1tico objetivo. Para hacerlo, los estafadores suelen vestirse como t\u00e9cnicos de cajeros autom\u00e1ticos para evitar llamar la atenci\u00f3n. En algunos casos, los delincuentes tambi\u00e9n utilizan un endoscopio, un instrumento que permite a los m\u00e9dicos mirar dentro del cuerpo humano para encontrar puertos de computadora dentro del cajero autom\u00e1tico objetivo.El segundo paso es la activaci\u00f3n del malware de jackpotting. Esto generalmente se hace usando el teclado del cajero autom\u00e1tico pirateado o envi\u00e1ndole comandos SMS. El \u00faltimo m\u00e9todo es mucho m\u00e1s conveniente porque funciona casi instant\u00e1neamente y brinda a los delincuentes la oportunidad de realizar sus operaciones maliciosas sin la necesidad de exponerse p\u00fablicamente.El tercer paso se relaciona con sacar el dinero robado del cajero autom\u00e1tico pirateado. Esto generalmente lo hacen mulas de dinero, individuos que realizan operaciones de alto riesgo siguiendo las instrucciones de los delincuentes. Muchas mulas de dinero pueden ser personas j\u00f3venes que generalmente no son muy conscientes de las consecuencias de sus acciones. Por ejemplo, un informe de la polic\u00eda del Reino Unido indica que el 36% de las mulas de dinero que participan en el blanqueo de dinero eran personas menores de 21 a\u00f1os.Las mulas de dinero se pueden dividir en tres categor\u00edas: mulas ignorantes, mulas ingeniosas y mulas c\u00f3mplices. Las mulas ignorantes no saben en absoluto que est\u00e1n involucradas en actividades delictivas. Las ingeniosas han notado se\u00f1ales (por ejemplo, mensajes de advertencia de los bancos) que indican que est\u00e1n involucradas en actividades delictivas, pero han decidido seguir adelante. Las mulas c\u00f3mplices son muy conscientes de su participaci\u00f3n en esquemas criminales.Veamos los principales tipos de malware usados para el jackpotting en cajeros.PloutusPloutus se descubri\u00f3 por primera vez en M\u00e9xico en 2013. La primera versi\u00f3n de Ploutus tuvo que instalarse en un cajero autom\u00e1tico insertando un CD en el CD-ROM del cajero autom\u00e1tico. La versi\u00f3n de 2014, llamada Backdoor.Ploutus.B, se bas\u00f3 en la distribuci\u00f3n a trav\u00e9s de un tel\u00e9fono m\u00f3vil. Esta distribuci\u00f3n tambi\u00e9n se conoce como anclaje a red USB.En 2016, los creadores de Ploutus lanzaron una nueva versi\u00f3n llamada Ploutus-D. Ploutus-D se puede instalar obteniendo acceso f\u00edsico a la parte superior del respectivo cajero autom\u00e1tico. Ploutus-D existe en varias modificaciones que le permiten ejecutarse en m\u00e1quinas de 41 proveedores de cajeros autom\u00e1ticos diferentes en 80 pa\u00edses. Se calific\u00f3 a Ploutus-D como \u00abuna de las familias de malware para cajeros autom\u00e1ticos m\u00e1s avanzadas que hemos visto en los \u00faltimos a\u00f1os.Las caracter\u00edsticas de Ploutus-D son:Utiliza la plataforma de cajeros autom\u00e1ticos de varios proveedores de Kalignite.Podr\u00eda funcionar en cajeros autom\u00e1ticos con los sistemas operativos Windows 10, Windows 8, Windows 7 y XP.Est\u00e1 configurado para controlar cajeros autom\u00e1ticos Diebold.Tiene una interfaz gr\u00e1fica de usuario diferente.Viene con un lanzador que intenta identificar y eliminar los procesos de monitorizaci\u00f3n de seguridad para evitar la detecci\u00f3n.Utiliza un ofuscador .NET m\u00e1s potente llamado Reactor.Ploutus-D puede ejecutarse como una aplicaci\u00f3n independiente o como un servicio de Windows iniciado por un lanzador.Cutlet MakerCutlet Maker se vendi\u00f3 originalmente en Internet, pero luego estuvo disponible gratuitamente. Infecta cajeros autom\u00e1ticos a trav\u00e9s de una memoria USB. El dispositivo y un teclado externo deben estar conectados a un cajero autom\u00e1tico para que se infecte.El malware no es complejo. Una caracter\u00edstica espec\u00edfica de Cutlet Maker es que, despu\u00e9s de ser instalado en un cajero autom\u00e1tico, aparecer\u00e1 el siguiente mensaje en la pantalla de la m\u00e1quina pirateada: \u201c\u00a1Ho-ho-ho! \u00a1Hagamos unas chuletas hoy! \u00bb El mensaje incluye una caricatura de un chef y un trozo de carne.\u00bfPor qu\u00e9 el jackpotting es tan peligroso?El jackpot es la forma m\u00e1s sofisticada de cajero autom\u00e1tico l\u00f3gico. Este enfoque implica infectar un cajero autom\u00e1tico con software malicioso. Cualquier forma temprana de este tipo de ataque involucr\u00f3 la transferencia de malware al cajero autom\u00e1tico en un USB a trav\u00e9s de un portal de interfaz. Desde entonces, los modos de infiltraci\u00f3n se han vuelto m\u00e1s efectivos y requieren incluso menos participaci\u00f3n del pirata inform\u00e1tico.El robo que se produce en el propio cajero autom\u00e1tico es cada vez m\u00e1s rentable y sofisticado. El \u00abskimming\u00bb de cajeros autom\u00e1ticos, ahora le cuesta a la econom\u00eda global m\u00e1s de $ 2 mil millones. Skimming es el acto de sincronizar los datos del cliente en el cajero autom\u00e1tico utilizando hardware que imita la apariencia de los componentes leg\u00edtimos de la m\u00e1quina. La tecnolog\u00eda necesaria est\u00e1 f\u00e1cilmente disponible en l\u00ednea para su compra.Los ataques estadounidenses han sido contra un pu\u00f1ado de cajeros autom\u00e1ticos de modelos m\u00e1s antiguos del proveedor de cajeros autom\u00e1ticos Diebold Nixdorf. Con cambios m\u00ednimos, los objetivos podr\u00edan ampliarse para funcionar \u00aben 40 proveedores de cajeros autom\u00e1ticos diferentes en 80 pa\u00edses\u00bb. con el potencial de p\u00e9rdidas financieras extremadamente altas.Protecci\u00f3n contra el malware de jackpottingLos bancos que deseen proteger sus cajeros autom\u00e1ticos contra el malware de jackpotting deben tomar al menos las siguientes medidas:Instalaci\u00f3n y mantenimiento de software anti-malware actualizadoBloquear los sistemas de cajeros autom\u00e1ticos para evitar la carga de programas no autorizadosDeshabilitar las funciones de inicio y ejecuci\u00f3n autom\u00e1ticaAsegurarse de que los cajeros autom\u00e1ticos no incluyan contrase\u00f1as predeterminadas. Las contrase\u00f1as predeterminadas se pueden encontrar en los manuales de instrucciones que generalmente est\u00e1n disponibles al p\u00fablicoMejorar la seguridad f\u00edsica de los cajeros autom\u00e1ticos, por ejemplo, instalando c\u00e1maras de seguridad junto a los cajeros autom\u00e1ticos y contratando oficiales de seguridad para monitorear esas c\u00e1maras.WinPot, una herramienta inspirada en el jackpottingUna nueva pieza de malware dise\u00f1ada espec\u00edficamente para piratear cajeros autom\u00e1ticos. Llamado WinPot, literalmente convierte el cajero autom\u00e1tico en una m\u00e1quina tragamonedas. Sin embargo, una m\u00e1quina tragamonedas implica que existe la posibilidad de ganar. WinPot permite al \u00abjugador\u00bb ganar siempre y recibir efectivo ilegalmente de la m\u00e1quina. Para instalar este tipo de malware, el pirata inform\u00e1tico necesita acceso a la red o poder acceder f\u00edsicamente a la m\u00e1quina.WinPot, que fue descubierto por Kaspersky en marzo de 2018, ha pasado por una variedad de versiones hasta la fecha. Si bien es una cepa de malware separada por derecho propio, los investigadores notaron que WinPot ciertamente est\u00e1 inspirado en otra cepa similar llamada Cutlet Maker. Cutlet Maker, descubierto en 2016, tambi\u00e9n mostraba informaci\u00f3n detallada sobre el contenido de los cajeros autom\u00e1ticos de sus v\u00edctimas, aunque en lugar del motivo de la ranura, utiliz\u00f3 una imagen de un chef estereotipado que gui\u00f1a un ojo y hace un gesto con la mano para decir \u00abOK\u00bb.Los ladrones infectan los cajeros autom\u00e1ticos a trav\u00e9s del acceso f\u00edsico, es decir, mediante el uso de unidades USB para instalar malware en la m\u00e1quina. El puerto USB est\u00e1 ubicado en la parte posterior del cajero autom\u00e1tico, al que los delincuentes acceden abriendo una brida en la parte frontal que deja al descubierto un agujero.Una vez que se instala el malware, los ciberdelincuentes pueden obligar al cajero autom\u00e1tico a dispensar efectivo a pedido a trav\u00e9s de una interfaz de software que aparece en la pantalla del cajero autom\u00e1tico. Con ello se consigue hackear al cajero autom\u00e1tico. El efecto es un poco como ganar el premio mayor en una m\u00e1quina tragamonedas.Desde que apareci\u00f3 en los mercados clandestinos, han aparecido nuevas muestras de WinPot, con modificaciones menores, como un per\u00edodo de tiempo actualizado durante el cual el malware est\u00e1 programado para funcionar.Otras modificaciones observadas con el tiempo incluyen la adici\u00f3n de protectores para hacer que cada nueva muestra sea \u00fanica, con el fin de enga\u00f1ar al cajero autom\u00e1tico; cambios para superar las limitaciones de los cajeros autom\u00e1ticos, como un l\u00edmite en el n\u00famero m\u00e1ximo de billetes permitido por dispensaci\u00f3n; protecciones contra mulas de dinero que abusan del malware; y actualizaciones para mejorar la interfaz y las rutinas de manejo de errores.Por lo tanto, es probable que WinPot contin\u00fae actualiz\u00e1ndose y prosperando."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/21\/jackpotting\/#breadcrumbitem","name":"Jackpotting, otra t\u00e9cnica para robar en cajeros autom\u00e1ticos"}}]}]