La Oficina Federal de Investigaciones (FBI) de Estados Unidos ha advertido sobre un aumento de los incidentes de jackpotting en cajeros automáticos en todo el país, lo que provocará pérdidas de más de 20 millones de dólares en 2025.
La agencia dijo que se han reportado 1.900 incidentes de jackpots en cajeros automáticos desde 2020, de los cuales 700 tuvieron lugar el año pasado. En diciembre de 2025, el Departamento de Justicia de EE. UU. (DoJ) dijo que se habían perdido colectivamente alrededor de 40,73 millones de dólares debido a ataques de jackpotting desde 2021.
«Los actores de amenazas explotan las vulnerabilidades físicas y de software en los cajeros automáticos e implementan malware para dispensar efectivo sin una transacción legítima», dijo el FBI en un boletín del jueves.
Los ataques de jackpotting implican el uso de malware especializado, como Ploutus, para infectar cajeros automáticos y obligarlos a dispensar efectivo. En la mayoría de los casos, se ha observado que los ciberdelincuentes obtienen acceso no autorizado a las máquinas abriendo la cara de un cajero automático con claves genéricas ampliamente disponibles.
Hay al menos dos formas diferentes de implementar el malware: quitar el disco duro del cajero automático, seguido de conectarlo a su computadora, copiarlo al disco duro, volver a conectarlo al cajero automático y reiniciar el cajero automático, o reemplazarlo por completo con un disco duro externo precargado con el malware y reiniciarlo.
Independientemente del método utilizado, el resultado final es el mismo. El malware está diseñado para interactuar directamente con el hardware del cajero automático, evitando así cualquier control de seguridad presente en el software del cajero automático original.
Debido a que el malware no requiere una conexión a una tarjeta bancaria real o a una cuenta de cliente para dispensar efectivo, puede usarse contra cajeros automáticos de diferentes fabricantes con pocos o ningún cambio de código, ya que el sistema operativo Windows subyacente se explota durante el ataque.
Ploutus se observó por primera vez en México en 2013. Una vez instalado, otorga a los actores de amenazas un control total sobre un cajero automático, lo que les permite activar retiros de efectivo que, según el FBI, pueden ocurrir en minutos y son más difíciles de detectar hasta después de que se retira el dinero.
«El malware Ploutus explota las extensiones para servicios financieros (XFS), la capa de software que indica a un cajero automático qué hacer físicamente», explicó el FBI.
«Cuando ocurre una transacción legítima, la aplicación del cajero automático envía instrucciones a través de XFS para la autorización bancaria. Si un actor de amenazas puede emitir sus propios comandos a XFS, puede eludir la autorización bancaria por completo e indicarle al cajero automático que entregue efectivo a pedido».
La agencia ha esbozado una larga lista de recomendaciones que las organizaciones pueden adoptar para mitigar los riesgos de jackpotting. Esto incluye reforzar la seguridad física mediante la instalación de sensores de amenazas, la instalación de cámaras de seguridad y el cambio de cerraduras estándar en los dispositivos ATM.
Otras medidas implican auditar los dispositivos de los cajeros automáticos, cambiar las credenciales predeterminadas, configurar un modo de apagado automático una vez que se detectan indicadores de compromiso, hacer cumplir la lista de dispositivos permitidos para evitar la conexión de dispositivos no autorizados y mantener registros.