A pesar del giro financiero y bancario hacia lo digital, los ataques contra la infraestructura física siguen estando presente, y en expansión. El FBI ha alertado recientemente sobre un aumento sostenido de ataques de jackpotting contra cajeros automáticos (ATM) en Estados Unidos, con más de 20 millones de dólares robados solo en 2025. Según difundió The Hacker News, desde 2020 se han registrado unos 1.900 incidentes, pero 700 de ellos ocurrieron el último año, reflejando una tendencia al alza que preocupa a las autoridades.

¿Qué es el jackpotting?

Se trata de un ataque que combina intrusión física y malware especializado para obligar a los cajeros a dispensar efectivo sin que existan transacciones legítimas. Según el FBI, los atacantes explotan vulnerabilidades físicas y de software en los ATM, muchas veces accediendo al interior de la máquina mediante llaves genéricas fácilmente disponibles. Una vez dentro, instalan malware capaz de comunicarse directamente con el hardware del cajero y evadir los controles del software bancario.

El ejemplo más conocido es Ploutus, observado por primera vez en México en el año 2013. Este malware otorga control total del cajero a los atacantes, permitiendo ejecutar retiros masivos en minutos. El FBI explica que Ploutus explota la capa XFS (eXtensions for Financial Services), el software que traduce las órdenes de la aplicación bancaria en acciones físicas del cajero. Si un actor malicioso envía comandos propios a XFS, puede burlar la autorización bancaria y ordenar la dispensación de efectivo bajo demanda.

La instalación del malware suele realizarse manipulando el disco duro del ATM: extrayéndolo para copiar el código malicioso y volver a colocarlo, o reemplazándolo por una unidad ya infectada. Como el ataque aprovecha el sistema operativo Windows subyacente, el mismo malware puede funcionar en cajeros de distintos fabricantes con mínimas modificaciones, ampliando la superficie de ataque y facilitando campañas a gran escala.

Ante el aumento de incidentes, el FBI recomienda reforzar la seguridad física y lógica de los cajeros con sensores de intrusión, cámaras, cambio de cerraduras estándar, auditorías de dispositivos y cambio de credenciales por defecto, así como listas blancas de hardware y registros de actividad. En paralelo, el Department of Justice informó la imputación de seis sospechosos adicionales vinculados a estas operaciones, elevando a 93 los acusados recientes en un esquema que presume una alianza entre crimen organizado y ciberataques financieros.