De esta forma pueden sacar todo tu dinero de un cajero sin que lo sepas: cómo evitar robos en la cuenta bancaria

Hace 15 años, el investigador de seguridad Barnaby Jack dejó perpleja a la comunidad tecnológica tras demostrar en una conferencia que era posible manipular un cajero automático para que expulse todo su efectivo.

Aquel experimento, más allá del asombro inicial, fue una advertencia concreta: el ‘jackpotting’ irrumpía como un método sofisticado para vaciar los cajeros automáticos sin que los usuarios detectaran ninguna irregularidad.

Desde entonces, el ‘jackpotting’ ha evolucionado y se ha globalizado, afectando sobre todo a bancos de Alemania y España. El fenómeno consiste en infectar los cajeros con malware especializado, como ‘Cutler Maker’ o ‘WinPot’, permitiendo que los terminales entreguen grandes sumas sin requerir clonación de tarjetas ni sustracción directa del plástico.

El ‘jackpotting’ es una técnica orientada a forzar el cajero automático a liberar efectivo. A diferencia de otros fraudes bancarios, no implica contacto directo con las cuentas de los clientes ni requiere robar datos personales.

Los atacantes acceden físicamente al hardware del cajero, utilizando herramientas de apariencia común o técnicas de engaño para manipularlo sin levantar sospechas. Una vez abierto, conectan un dispositivo USB que contiene el software malicioso.

Cuando el malware se activa, los delincuentes ejecutan comandos que ordenan al cajero expulsar billetes como si se tratara de una transacción legítima. Al tratarse de una manipulación interna del dispositivo, ni el usuario ni el banco detectan el robo de inmediato.

Las variantes de este malware, como ‘Cutler Maker’ y ‘WinPot’, han permitido a los atacantes perfeccionar las operaciones, logrando vaciar varios cajeros en una misma jornada.

En los últimos años, la estructura de estos grupos delictivos se ha desarrollado de forma jerarquizada. Los responsables intelectuales de las operaciones no suelen estar presentes durante el retiro del dinero.

Prefieren emplear a intermediarios o “mulas”, que suelen ser personas reclutadas con la promesa de una recompensa rápida. Estas simulan el papel de usuarios habituales y retiran el efectivo sin levantar sospechas entre los transeúntes o el personal de seguridad.

Esta fragmentación del delito facilita la impunidad de los líderes y dificulta la labor policial. En muchas ocasiones, quienes son detenidos por la policía no son quienes planificaron el ataque, y la recuperación del dinero se complica.

Aunque el ‘jackpotting’ ha captado la atención, no es la única forma en la que los delincuentes atacan cajeros automáticos. Otras técnicas, como el ‘shoulder surfing’, consisten en observar de forma directa o mediante cámaras ocultas para obtener el PIN del usuario, aprovechando momentos de distracción o aglomeraciones.

La clonación de tarjetas y la instalación de dispositivos como los skimmers también siguen representando un riesgo considerable.

A pesar de los esfuerzos de las entidades bancarias por implementar sistemas antiskimming y refuerzos en la privacidad de los teclados, la creatividad de los ciberdelincuentes obliga a mantener una actualización continua de los sistemas de hardware y software de estos terminales.

La seguridad en los cajeros automáticos es una responsabilidad compartida entre las entidades financieras y los usuarios.

Se debe revisar la integridad física del terminal antes de operar, cubrir siempre el teclado durante la introducción del PIN y evitar actuar si el cajero muestra mensajes o conductas inusuales, como reinicios o demoras excesivas.

Además, las entidades bancarias han incrementado la supervisión de los terminales y actualizan con frecuencia el software de los cajeros. Otro punto es que incorporan sistemas de alarma en caso de manipulación no autorizada del hardware.

No obstante, la colaboración con las fuerzas de seguridad y la educación continua sobre riesgos son clave para frenar nuevos tipos de fraude.