El Departamento de Justicia de EE. UU. (DoJ) ha anunciado la acusación formal contra 54 personas por su presunta participación en un esquema de “jackpotting” de cajeros automáticos (ATM) que desvió millones de dólares. La conspiración a gran escala implicó el uso del malware Ploutus para forzar a los cajeros automáticos en todo el país a dispensar efectivo.
Según las autoridades, los acusados forman parte del grupo criminal venezolano Tren de Aragua (TdA), que ha sido designado como organización terrorista extranjera por el Departamento de Estado de EE. UU.
Detalles del Esquema de Jackpotting y el Malware Ploutus
El esquema de jackpotting se basó en el despliegue del malware Ploutus, diseñado para manipular el Módulo de Dispensación de Efectivo (CDM) de los cajeros automáticos y obligarlos a entregar dinero sin autorización. La operación involucró los siguientes pasos:
- Reclutamiento y Reconocimiento: TdA reclutó individuos para llevar a cabo la operación. Estos “mulas” realizaban reconocimiento inicial en varios cajeros automáticos para evaluar las medidas de seguridad externas.
- Acceso Físico: Los atacantes intentaban abrir la “capota” del cajero para verificar si se activaban alarmas o si se generaba una respuesta de las fuerzas del orden.
- Instalación del Malware: Una vez dentro, los actores de amenazas instalaban Ploutus reemplazando el disco duro del cajero automático con uno precargado con el malware o conectando una unidad USB extraíble.
- Ejecución y Evasión: El malware Ploutus emitía comandos no autorizados al CDM para forzar los retiros de efectivo. Además, estaba diseñado para eliminar la evidencia de su presencia en el sistema, dificultando que los bancos detectaran el despliegue del malware.
El Alcance de la Operación y el Grupo Criminal Tren de Aragua
El Departamento de Justicia alega que los fondos robados se transfirieron a líderes del Tren de Aragua para financiar actividades terroristas y otras empresas criminales, como el tráfico ilícito de drogas, la trata de personas, la extorsión y la explotación sexual de mujeres y niños.
Desde 2021, se han registrado un total de 1,529 incidentes de jackpotting en EE. UU., con pérdidas que ascienden a aproximadamente $40.73 millones de dólares a agosto de 2025.
Las acusaciones se dividen en dos cargos: un grupo de 22 personas por fraude bancario, robo y lavado de dinero (presentado el 9 de diciembre de 2025) y otro grupo de 32 personas por conspiración para cometer fraude bancario y informático (presentado el 21 de octubre de 2025). De ser declarados culpables, los acusados podrían enfrentar penas máximas de entre 20 y 335 años de prisión.
Historia del Malware Ploutus
El malware Ploutus se detectó por primera vez en México en 2013. Su evolución ha sido documentada a lo largo de los años:
- 2014 (Symantec): Se detalló cómo una vulnerabilidad en cajeros automáticos basados en Windows XP permitía a los ciberdelincuentes retirar efectivo simplemente enviando un SMS a los cajeros comprometidos.
- 2017 (FireEye/Mandiant): La variante Ploutus-D demostró capacidad para controlar cajeros Diebold y ejecutarse en diversas versiones de Windows. En ese momento, se explicó que la operación requería que una “mula de dinero” tuviera una llave maestra para acceder al cajero, un teclado físico y un código de activación del “jefe” para dispensar el dinero.
Conclusiones
Este caso subraya la amenaza persistente del jackpotting de cajeros automáticos y la sofisticación de las operaciones de los grupos criminales transnacionales como el Tren de Aragua. La colaboración entre agencias de aplicación de la ley ha sido crucial para desmantelar esta red, pero el incidente también destaca la necesidad de fortalecer la seguridad física y lógica de la infraestructura de cajeros automáticos para prevenir futuros ataques.
Referencias
- U.S. Department of Justice (DoJ) announcement.
- Symantec report on Ploutus (2014).
- FireEye/Mandiant analysis of Ploutus-D (2017).