El FBI advierte del aumento de los ataques de "jackpotting" en cajeros automáticos con malware

El FBI publicó una alerta IC3 FLASH el 19 de febrero de 2026, advirtiendo de un aumento de incidentes de "jackpotting" de cajeros automáticos con malware en todo EE.UU. La oficina dice que la alerta pretende distribuir detalles técnicos e indicadores de compromiso (IOC) para que los bancos, los operadores de cajeros automáticos y los proveedores de servicios puedan endurecer las máquinas y detectar antes los compromisos.

La escala no es trivial. El FBI afirma que de los 1.900 incidentes de "jackpotting" registrados desde 2020, más de 700, con más de 20 millones de dólares en pérdidas, se produjeron sólo en 2025.

Qué es el "jackpotting en cajeros automáticos" en este aviso

En el jackpotting, los delincuentes no necesitan robar los datos de las tarjetas ni vaciar las cuentas de los clientes. En su lugar, apuntan al propio cajero automático, utilizando malware para forzar a la máquina a dispensar dinero en efectivo sin una transacción legítima. El FBI encuadra estos hechos como operaciones rápidas de "retirada de efectivo" que sólo pueden advertirse cuando el dinero ya ha desaparecido.

Ploutus y el papel de XFS

El aviso de https://www.ic3.gov/CSA/2026/260219.pdf apunta al malware de cobro de premios, incluida la familia Ploutus. El FBI afirma que Ploutus tiene como objetivo las eXtensiones para Servicios Financieros (XFS)... la capa de software que indica al hardware del cajero automático qué acciones debe realizar. En un flujo normal, la aplicación del cajero automático envía comandos a través de XFS como parte de una transacción que requiere autorización bancaria. Si un atacante puede emitir sus propios comandos a XFS, el FBI dice que puede eludir la autorización por completo e instruir al cajero automático para que dispense dinero a demanda.

Vías de infección habituales: el acceso físico es lo primero

El escrito del FBI hace hincapié en que muchos ataques comienzan con el acceso físico, a menudo abriendo la cara de un cajero automático utilizando llaves genéricas ampliamente disponibles. A partir de ahí, el FBI enumera los métodos comunes de despliegue, entre los que se incluyen la extracción del disco duro, la copia del malware en él utilizando otro ordenador, su reinstalación y el reinicio del cajero automático, o el intercambio de la unidad con una unidad "extraña" o un dispositivo externo precargado con malware antes de reiniciar.

Por qué los cajeros con Windows están en el punto de mira

El FBI afirma que el malware puede utilizarse en distintos fabricantes de cajeros automáticos con relativamente pocos ajustes porque el compromiso aprovecha el sistema operativo Windows de los cajeros afectados. El malware se describe como que interactúa directamente con el hardware del cajero automático y dispensa dinero en efectivo sin necesidad de acceder a la cuenta de un cliente bancario.

IOCs, el FBI dice que los defensores deben buscar

El aviso enumera una serie de indicadores digitales observados en los cajeros automáticos afectados que funcionan con Windowsentre los que se incluyen ejecutables sospechosos como Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, además de archivos/scripts asociados como C.dat y Restaurar.bat, y directorios recién creados. También incluye múltiples hashes MD5 vinculados a los artefactos observados.

Más allá de los artefactos de archivo, el FBI señala posibles abusos de herramientas de acceso remoto (por ejemplo, TeamViewer/AnyDesk no autorizados) y busca persistencia inusual a través de autoejecutables anormales y servicios personalizados en ubicaciones de registro/servicio de Windows.

Indicadores físicos/de registro que pueden revelar la puesta en escena

Dado que el robo de cajeros automáticos suele implicar una manipulación in situ, el FBI también llama la atención sobre los "indicadores de interacción física", entre los que se incluyen los eventos de inserción de USB y la detección de dispositivos conectados como teclados USB, concentradores USB y unidades flash. Las señales de alarma operativas incluyen alertas de apertura de puertas de cajeros automáticos fuera de las ventanas de mantenimiento, estados inesperados de bajo/ningún efectivo, dispositivos conectados no autorizados y retirada de discos duros.

Guía de mitigación: "imágenes de oro", auditoría de medios extraíbles y controles físicos por capas

Una de las secciones más procesables es el énfasis que pone el FBI en el baselining y la integridad: recomienda validar los archivos/hashes de los cajeros automáticos contra una "imagen de oro" controlada y tratar las desviaciones, especialmente los binarios sin firmar o recién introducidos, como un compromiso potencial.

El FBI también recomienda una política de auditoría específica en torno al uso de almacenamiento extraíble, el acceso controlado a archivos y la creación de procesos para detectar actividades de montaje que puedan eludir la supervisión de la red.

En el aspecto físico, el consejo del FBI es directo: dificultar el acceso a la máquina y facilitar la detección de manipulaciones. Eso incluye actualizar las cerraduras para que las llaves genéricas no funcionen, añadir alarmas para los paneles de servicio, utilizar sensores para detectar movimientos o calor inusuales, limitar el acceso a la caja y asegurarse de que las cámaras cubren adecuadamente el cajero automático, con secuencias retenidas el tiempo suficiente para que sean útiles.

También menciona medidas de endurecimiento como las listas blancas de dispositivos para bloquear las conexiones de hardware no autorizadas, las comprobaciones de integridad del firmware (incluidas las comprobaciones de integridad basadas en TPM en el arranque) y el cifrado de discos para reducir la posibilidad de que se introduzca malware al extraer y modificar una unidad fuera de la máquina.

Lo que el FBI pide a las organizaciones que informen

Para la notificación de incidentes, el FBI anima a a las organizaciones a que se pongan en contacto con su oficina local del FBI o que lo envíen a través del IC3, y solicita detalles prácticos como los identificadores del banco/sucursal, la marca/modelo del cajero automático, información del proveedor y los registros disponibles.