Se viene utilizando una nueva modalidad denominada jackpotting, que no precisa del uso de la fuerza. Con virus troyanos, vulneran los sistemas de seguridad informáticos y pueden vaciar los cajeros en pocos minutos.
Los cajeros automáticos siempre son un botín atractivo para los delincuentes, que continuamente se encuentran buscando formas para vulnerarlos. Hay casos registrados en los que han arrancado de cuajo los pesados aparatos arrastrándolos con camionetas. También han apelado a explosivos y a pesadas herramientas. Por eso, la tecnología se ha concentrado en reforzar la seguridad para garantizar la inviolabilidad de los denominados cartuchos donde se guarda el efectivo y, en especial, de las cajas fuertes que los contienen.
Los cajeros automáticos son máquinas inteligentes que, en su estructura, cuentan con dos componentes principales: por un lado, el mecánico pero, además, cada aparato cuenta con una computadora y un software, que es el que le da las órdenes para que efectúe las operaciones y en donde se registran las transacciones. Es allí donde, ahora, han concentrado sus esfuerzos los ladrones y han encontrado a los fabricantes y, sobre todo, a los bancos con la guardia baja.
A fines de enero, los servicios de inteligencia norteamericanos encendieron una luz de alarma para las entidades financieras, alertándolas sobre la creciente modalidad de robo a través de lo que denominan jackpotting. La figura alude a las máquinas de los casinos en las que cuando un jugador, con un golpe de suerte, logra una combinación determinada de símbolos, entregan voluntariamente centenares de fichas que pueden implicar sumas millonarias. Según el informe que han presentado los servicios secretos, en apenas una semana se registraron en Estados Unidos seis ataques mediante los cuales se robaron 1 millón de dólares.
Jacinto González, managing director de la consultora RiskOff, indicó que “este tipo de acciones empezó en Europa y Asia y luego llegó a Latinoamérica. Ahora empezó a aparecer en Estados Unidos. En la Argentina todavía no está reportado, pero puede pasar que suceda y el banco no lo reporte por un tema de imagen. Es un problema porque así no hay forma de enfrentarlo”.
El experto relató que “en una conferencia sobre riesgo operacional realizada en Boston en 2009 el representante de Sudáfrica contaba que en ese país dinamitan los cajeros para sacar la plata. Pero la realidad es que las herramientas fueron cambiando. En la era digital los criminales pueden acceder a la parte tecnológica de los cajeros sin necesidad de tanta ferretería y explosivos. Directamente los hackean y les dan la orden de entregar todo el dinero”.
“Tuve la suerte de visitar una fábrica de cajeros automáticos en Alemania, de las más avanzadas del mundo. Cuando los hacen, arrancan por una caja fuerte alrededor de los cartuchos donde se guarda y expende el dinero. Después, se arma todo alrededor. El cajero tiene dos componentes: el hardware, por llamarlo de alguna manera, y el ordenador, que es el más descuidado por el fabricante. En Argentina los ordenadores que tienen los cajeros están con sistemas operativos muy viejos, por ejemplo Windows XP, que ya no tiene soporte técnico de Microsoft. Entonces, quedan sin parches y no se pueden actualizar”, advirtió.
González añadió que “no sólo los cajeros cuentan con un software muy vulnerable, sino que también están en una carcasa de plástico no asegurada. Los sistemas de bloqueo son demasiado livianos y los criminales pueden acceder de manera muy fácil”.
“Los fabricantes tienden a creer que el cajero opera en condiciones normales y que el problema del robo puede estar en donde está el efectivo. Esa unidad de depósito cuenta con grandes medidas de seguridad, está completamente blindada. Incluso, existen nuevos desarrollos para ese componente. Los cartuchos de los cajeros más modernos vienen con bombas de tinta que, si alguien fuerza un cartucho, explotan e inutilizan los billetes. El concepto que tienen es que te vas a robar el cartucho, que es la caja fuerte. Pero una vez que los delincuentes acceden fácilmente al software, encuentran que no tiene soluciones antivirus, ni autenticación de aplicaciones para enviar comandos al dispensador de efectivo”, enfatizó.
Una modalidad que se viene extendiendo
Los ataques jackpotting se extendieron por Latinoamérica el año pasado y también se reportaron en Europa y Asia.
González puntualizó que en todo el mundo se están registrando delitos de este tipo en los que los malvivientes, “haciendo una apertura en esa parte fácilmente vulnerable del cajero, pueden acceder al puerto USB del ordenador y conectan teclados o insertan virus troyanos que actúan en función de las indicaciones que ellos les dan”.
El experto agrego que “hay casos que se hacen in situ pero hay otros casos registrados con mayor complejidad en los que directamente acceden a la conexión vía Internet que tiene el cajero con el banco, algo mucho más peligroso porque pueden controlar los cajeros a través de centros de procesamiento falsos. Emiten órdenes y luego alguien ingresa y retira el dinero que el cajero entrega ‘voluntariamente’”.
Los atracadores se valen de un malware que se llama Ploutus y se había usado en México en 2013 cuando se vaciaron muchos cajeros. Este malware está en permanente evolución y ahora hay una variante nueva (Ploutus-D) que hace que el cajero lance 40 billetes cada 23 segundos. Con este instrumento, en Argentina en una hora de operaciones se podría acceder a 700.000 pesos en el caso de que el cajero estuviera cargado sólo con billetes de 100 pesos.
Como aspecto positivo para los clientes bancarios, esta modalidad delictiva no los compromete, puesto que el hackeo no se realiza sobre cuentas de personas físicas. Los virus dan la orden de entregar el dinero pero no registran la transacción a nombre de ningún cliente.
“Lo que hacen los ladrones es hackear al cajero sin registrar ninguna operación. Simplemente, hacen que el cajero escupa todo el dinero que tiene”, precisó González.
Falta de conciencia en nuestro país
González lamentó la falta de conciencia que existe en nuestro país sobre este problema. “El Banco Central (BCRA) recientemente sacó una comunicación “A” 6364 que se refiere a la gestión y control del riesgo relacionado con la tecnología, pero no incluye este problema de los cajeros”.
El especialista aclaró que, para atacar esta operatoria, no es necesario cambiar el equipo. “El componente mecánico donde guardás y expendés el billete sigue instrucciones del ordenador. Hay que actualizar este componente”.
Respecto a la responsabilidad en esta problemática, señaló que “está compartida entre el banco y el fabricante de cajeros. Este último no tiene medidas de seguridad acordes a los tiempos que corren en materia de software y protección. Sin embargo, el banco aun sabiendo que no tiene esas medidas, le compra. La responsabilidad del funcionamiento del cajero es del banco y no del fabricante. El banco es quien le tiene que exigir a su proveedor que tenga las máximas medidas de protección”.
