Los cajeros automáticos han vuelto a ser blanco de una campaña masiva de robos digitales, pero esta vez el arma no es un skimmer escondido en la ranura de la tarjeta sino software malicioso que obliga a la máquina a escupir billetes sin necesidad de una transacción legítima. El Buró Federal de Investigaciones de Estados Unidos (FBI) ha alertado sobre un aumento significativo de este tipo de incidentes, conocidos en el argot como "jackpotting": desde 2020 se han reportado casi 1.900 ataques y solo en el último año se registraron alrededor de 700, con pérdidas que superan los 20 millones de dólares en 2025, según el propio FBI en su boletín técnico.
Detrás de muchos de estos episodios está un malware especializado, con nombres que los investigadores ya identifican y estudian desde hace años. Un ejemplo paradigmático es Ploutus, detectado originalmente en México en 2013, que permite a los atacantes tomar control directo del hardware del cajero. A diferencia de un fraude bancario tradicional, aquí no se necesita clonar una tarjeta ni acceder a cuentas de clientes: el objetivo es obligar al cajero a dispensar efectivo mediante comandos maliciosos que el software infectado envía al propio mecanismo dispensador.
El ataque combina dos ingredientes críticos: vulnerabilidades físicas y debilidades en el software. En muchos casos los delincuentes logran un acceso físico sencillo abriendo la carcasa frontal del cajero con llaves genéricas y ampliamente disponibles. Con esa entrada, tienen tiempo para manipular el equipo internamente y arrancar el proceso de infección. Una técnica frecuente consiste en extraer el disco duro del cajero, copiar o sustituir su contenido por una imagen que contiene el malware y volver a montar y reiniciar la máquina. Otra variante es reemplazar el disco por uno ya preparado con el software malicioso, de modo que al encender el equipo el ataque se ejecuta de inmediato.
Lo que hace especialmente difícil la defensa es que el malware no opera a un nivel superficial de la aplicación bancaria del cajero, sino que se comunica con la capa que controla el hardware: en la mayoría de los cajeros esa interacción se maneja mediante la especificación XFS (eXtensions for Financial Services). Si un atacante consigue emitir sus propias instrucciones a esa capa, puede ignorar por completo la autorización bancaria y ordenar la expulsión de efectivo bajo demanda. Más aún, buena parte de estas máquinas funcionan sobre sistemas Windows, lo que facilita que un mismo conjunto de herramientas maliciosas pueda adaptarse con pocos cambios a cajeros de distintos fabricantes. Para ampliar sobre XFS y su papel en los cajeros, puede consultarse la descripción técnica en Wikipedia (CEN/XFS) y sobre Ploutus en su ficha técnica.
La rapidez del ataque es otra razón por la que resultan atractivos para los criminales: una vez que el software está en marcha, un "cash-out" puede ocurrir en minutos y suele pasar desapercibido hasta que el efectivo ya ha sido retirado. El Departamento de Justicia de EE. UU. y el FBI han estado rastreando el fenómeno y documentan pérdidas acumuladas que alcanzan decenas de millones de dólares en los últimos años; para una lectura oficial y técnica sobre la naturaleza de estos incidentes y las recomendaciones, el FBI publicó un aviso que resume la amenaza y las medidas sugeridas (boletín IC3 del FBI).
Frente a este panorama, la respuesta no puede ser solo digital ni únicamente física: debe combinar ambas. Las recomendaciones ofrecidas por las autoridades insisten en reforzar el control de acceso y la vigilancia alrededor de los cajeros, cambiando cerraduras estándar por soluciones más seguras y equipando las máquinas con sensores que detecten aperturas o manipulaciones fuera de lo normal. La lógica es clara: sin posibilidad de acceso físico, gran parte de las cadenas de infección quedan frustradas. Pero eso no basta.
A nivel de software y administración del parque de cajeros se aconseja auditar regularmente los dispositivos, eliminar cuentas y credenciales por defecto, e implementar políticas de "allowlisting" que impidan la conexión o uso de dispositivos de almacenamiento no autorizados. También es recomendable que los cajeros dispongan de modos automáticos de apagado o de cuarentena cuando se detecten indicadores de compromiso, y que los equipos mantengan registros detallados de actividad que permitan reconstruir eventos y facilitar la investigación forense. Estas medidas ayudan a cerrar las vías que explotan tanto el acceso físico como la manipulación del sistema operativo subyacente.
No hay que olvidar el factor humano: la formación del personal que mantiene y revisa estos equipos es clave para que se detecten anomalías a tiempo. Algo tan rutinario como la inspección visual de sellos de seguridad, la comprobación de registros de actividad o la verificación de que las cerraduras y sensores funcionan correctamente puede marcar la diferencia entre un intento fallido y una pérdida real.
Si bien la amenaza de los ataques de jackpotting no es nueva, su persistencia y la sofisticación de los métodos empleados obligan a bancos, operadores de cajeros y autoridades a coordinarse con más intensidad. Desde el punto de vista del ciudadano, el riesgo directo suele ser menor (los atacantes buscan efectivo físico en las máquinas, no las cuentas personales), pero el impacto económico y en la confianza es palpable para la industria. Para quien quiera profundizar en los aspectos técnicos y en la evolución del problema, además del boletín del FBI hay abundante cobertura técnica y periodística que rastrea incidentes similares a nivel global; revisar análisis históricos sobre jackpotting ayuda a entender cómo cambian las tácticas y qué prácticas han demostrado ser más eficaces para mitigarlas.
La lección principal es doble y urgente: fortalecer la seguridad física de los cajeros y no subestimar la superficie de ataque que representa el software que gobierna su hardware. Ambas mitades del problema deben reforzarse de forma simultánea para reducir la ventana que los atacantes explotan y para minimizar las pérdidas económicas y el daño a la confianza pública.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...