Con este programa puedes hacer que los cajeros escupan dinero

Una mañana de finales de noviembre en Freiburg, Alemania, un empleado de un banco se percató de que algo fallaba en uno de los cajeros automáticos de la sucursal.

Había sido pirateado con un malware llamado Cutlet Maker [Máquina de Chuletas] que hace que los cajeros expulsen todo el dinero que tienen dentro, según un agente policial familiarizado con el caso.

“¡Ho, ho, ho! Vamos a hacer chuletas hoy”, se lee en el panel de control del Cutlet Maker, junto con un dibujo de un chef y un trozo de carne feliz. Al parecer, en ruso la palabra chuleta se utiliza para designar un tipo de corte de la carne pero también una suma de dinero, y de ahí el juego de palabras.

Una investigación llevada a cabo conjuntamente entre VICE Motherboard y la cadena alemana Bayerischer Rundfunk (BR) ha destapado nuevos detalles sobre el aluvión de ataques a cajeros automáticos —llamados jackpotting— en Alemania en 2017 en los que los ladrones se adueñaron de más de un millón de euros.

Jackpotting, premio gordo en inglés, es una técnica en la que los cibercriminales usan malwares para engañar a los cajeros y que expulsen todo el dinero, sin necesidad de usar una tarjeta de crédito robada. Los piratas normalmente instalan malwares en un cajero automático a través de un puerto USB escondido detrás de un panel.

En algunos casos, hemos sido capaces de identificar la marca de fabricantes de los bancos y los cajeros afectados. A pesar de que una organización sin ánimo de lucro europea ha declarado que los ataques de jackpotting han decrecido en la región en la primera mitad del año, múltiples informantes afirman que el número de ataques en otras partes del mundo ha aumentado. Entre las regiones afectadas están los Estado Unidos, Latinoamérica y el suroeste de Asia. Además, este problema también ha perjudicado económicamente a los fabricantes de bancos y cajeros.

“En los Estados Unidos es bastante popular”, dice una fuente que está familiarizada con los ataques a cajeros. Motherboard y BR han decido dejar varias de sus fuentes, entre las que se incluyen agentes policiales, en el anonimato para que puedan hablar más honestamente sobre cualquier información delicada relacionada con los pirateos.

*En 2010, durante la conferencia de seguridad informática anual del Black Hat, un investigador, Barnaby Jack, demostró en directo ante los atónitos asistentes su propio malware para piratear cajeros. La gente aplaudía con entusiasmo al ver la palabra “JACKPOT” [PREMIO GORDO] en la pantalla del cajero automático al tiempo que expulsaba frenéticamente todos los billetes que tenía dentro.

A día de hoy, se han llevado a cabo multitud de ataques similares en todas partes del mundo.

En Friburg, no llegaron a robar dinero según las fuentes policiales. Pero Cristoph Hebbecker, un fiscal del estado alemán de Renania del Norte-Westfalia, dijo que se estaban investigando 10 incidentes que habían tenido lugar entre febrero y noviembre de 2017, entre los que se incluían ataques en los que los ladrones habían conseguido robar grandes sumas de dinero. En total, los piratas se llevaron 1,4 millones de euros, dijo Hebbecker.

Además añadió que, puesto que los ataques eran de la misma naturaleza, se cree que están todos relacionados con la misma banda criminal. En algunos casos, existen vídeos que podrían servir a la investigación, pero todavía no hay sospechosos, añadieron.

“La investigación todavía sigue abierta”, dijo Hebbecker en un correo electrónico en alemán.

Varias fuentes afirman que gran parte de esos ataques estaban dirigidos al banco Santander; dos fuentes dijeron que los ladrones buscaban específicamente los modelos de cajero Wincor 200xe, del fabricante Diebold Nixdorf.

“En general, no damos información sobre casos particulares”, dijo Bernd Redecker, el director de seguridad corporativa y gestión de fraudes de Diebold Nixford, en una llamada. “Sin embargo, obviamente estamos tratando el tema del jackpotting con nuestros clientes y somos conscientes de estos casos”.

Un portavoz del Santander dijo en una declaración por correo electrónico: “Proteger la información de nuestros clientes y la integridad física de nuestra red de cajeros es la base de nuestro trabajo. Nuestros expertos analizan cada fase del desarrollo del producto y las operaciones para proteger a los clientes y al banco de fraudes o amenazas cibernéticas. Este énfasis en la protección de nuestra información y operaciones es la causa por la que no podemos hablar de problemas de seguridad específicos”.

Algunos policías berlineses indicaron haber investigado al menos 36 casos de jackpotting, desde la primavera de 2018, en los que se robó varios miles de euros. No quisieron mencionar los malwares usados por los piratas.

En total, las autoridades han registrado 82 casos de jackpotting en Alemania en diferentes estados en los últimos años, según los portavoces policiales. Sin embargo, no todos esos ataques fueron satisfactorios.

Es importante recordar que el jackpotting se puede dar en cualquier modelo o fabricante de cajeros. Es muy probable que haya habido ataques a otros bancos, aparte del Santander, pero simplemente esos fueron los identificados en la investigación.

“Esto ocurre con todos los fabricantes; no es un programa específico para un modelo o marca determinada, ni mucho menos una región”, dijo Redecker.

Uno de los problemas de seguridad de los cajeros es que muchos de ellos son, básicamente, ordenadores Windows viejos.

“Son terminales antiguas y lentas”, dice una de nuestras fuentes relacionada con los ataques.

Los fabricantes de cajeros han mejorado la seguridad de sus dispositivos, enfatizó Redecker de Diebold Nixford. Pero eso no significa que todos los cajeros sean iguales.

Y los bancos también tienen la responsabilidad de proteger los cajeros físicamente.

“Para poder llevar un ataque de estos, tienes que tener acceso a los componentes internos del cajero. Por eso, impedir en primer lugar el acceso físico al interior de la máquina es una de las formas principales de prevenir el jackpotting”, dijo en un correo electrónico David N. Tente, director ejecutivo de la ATMIA (siglas en inglés de la Asociación de Fabricantes de Cajeros) en Estados Unidos, Canadá y las Américas.

Redecker dijo que se han dado ataques en todas partes del mundo desde 2012 y en la capital alemana desde 2014.

En 2017, cuando ocurrieron los ataques, la empresa de seguridad informática Karpersky publicó una investigación en la que se veía el Cutlet Maker a la venta en foros de pirateo desde mayo del mismo año. Con un par de miles de euros cualquiera podía hacerse con el malware y probar el jackpotting.

“Esos piratas se lo venden casi a cualquier persona”, dijo David Sancho, jefe de la investigación de seguridad informática de Trend Micro, que trabaja con la Europol en la investigación del jackpotting. Lo cual ha hecho que se formen bandas criminales que atacan a cajeros, añadió.

“Potencialmente, esto podría afectar a casi cualquier país del mundo” dijo Sancho.

Motherbard habló con un cibercriminal que afirmaba vender el Cutlet Maker.

“Sí, lo vendo. Cuesta 900 €”, escribió en un correo. Además, nos conto que ofrecen un servicio técnico para aprender a usar el programa. Nos mandó unas capturas de pantalla de un manual de instrucciones en inglés y en ruso en el que se explica paso a paso cómo vaciar un cajero. Hay una parte del manual que explica cómo saber cuantos billetes hay dentro del cajero y cómo instalar el malware.

La Asociación Europea de Transacciones Seguras (EAST), una organización sin animo de lucro que controla los fraudes financieros, dijo que los ataques de jackpotting habían decaído en un 43 por ciento en el último año en un informe publicado este mes. Pero es importante enfatizar que este informe solo se centra en Europa.

“Ocurre en otros lugares del mundo donde no necesitan decírselo a nadie”, explicó la fuente relacionada con los ataques. “Cada vez hay más, pero, de nuevo, el mayor problema es que nadie quiere denunciarlo”.

La facilidad de acceso a estos programas piratas ha aumentado consideradamente el número de ataques a cajeros. En enero de 2018, los servicios secretos estadounidenses advirtieron a las instituciones financieras de los primeros casos de jackpotting en los EUA, aunque allí se usa otro programa llamado Ploutus.D.

“Globalmente, en 2019 nuestras encuestas indicaron que los ataques de jackpotting van en aumento” escribió en un email Tente de ATMIA.

Tal y como nos contó nuestra fuente familiar a los ataques, “hay ataques en todas partes, pero muchas veces no se habla de ellos”.

Suscríbete a nuestra newsletter para recibir nuestro contenido más destacado.