Un software diseñado para robar dinero en efectivo de los cajeros automáticos amenaza a la mayoría de estos equipos de México y el mundo que se encuentran localizados fuera de sucursales bancarias como tiendas de conveniencia o centros comerciales. La amenaza sigue viva.

La amenaza lleva por nombre Ploutus, detectada por primera vez en el 2013 en México y que a nivel mundial ha sido pieza clave en el robo de entre 450 millones de dólares a nivel mundial, aseguró Adolfo Grego, investigador y director de Cómputo Forense de la firma Grupo RF.

En México ya ha actuado en tres campañas de ataque con un impacto de entre 1,000 y 1,200 millones de pesos.

La primera operación de esta amenaza ocurrió en el 2013, con la que se perpetuó un robo equivalente a los 450 millones de pesos.

"En la primera oleada de agosto del 2013, más o menos 450 cajeros automáticos afectados a nivel nacional, con un impacto de 1 millón de pesos en efectivo en promedio por cada cajero", comentó el experto. La segunda ocurrió durante el Buen Fin de ese año.

Si bien el ataque fue detectado, lo cierto es que el código ha evolucionado y sigue activo por lo que representa una amenaza para los bancos. La última oleada ocurrió este 2015, en el 14 de febrero, e incluso se ha detectado su exportación a países como Ucrania y Brasil.

"México tiene el primer lugar de exportación de malware para cajeros automáticos", aseguró el experto.

El análisis inicial de esta amenaza realizado por la firma de ciberseguridad Kaspersky reveló que se utilizaron lenguajes de programación basados en Microsoft .NET para el desarrollo del código malicioso.

Grego explicó además que para realizar el ataque, los criminales tienen que adquirir una licencia, mediante un SMS, a los diseñadores de este malware con validez de 24 horas para atacar un cajero automático.

"La licencia permite hacer todas las dispensas de efectivo que el atacante quiera o pueda hacer. Después de 24 horas tienen que pagar otra licencia", agregó.

Más allá del malware

El experto advierte que los cajeros automáticos que se encuentran fuera de las sucursales bancarias son las que están en peligro de sufrir atracos debido a los menores protocolos de seguridad que existen fuera de los bancos.

Y es que en los cajeros automáticos que se encuentran fuera de las sucursales, no cuentan con sensores que emitan una alerta a la institución bancaria en caso de algún robo o atraco. El acceso a estos equipos también cuenta con bajos estándares de seguridad.

"Todos los custodios que hayan trabajado en empresa de valores, personal de mantenimiento y de banca tienen y los pueden llegar a abrir, luego conecto un teclado por USB y ya con el teclado puedo matar el proceso que yo quiera, con permisos de administrador", explicó.

Para infectar a un cajero, se necesita la manipulación física del mismo para insertar un CD con el malware que permite al atracante extraer hasta 400 billetes de cada una de las denominaciones disponibles durante un lapso de entre 2.5 y 3 horas.

"No se instala por vía remota. Requiere de instalación física porque tienen un CD, abren el cajero, montan el cajero, rebootean la máquina, arrancan el instalador y escriben el disco. Cuando levantan otra vez el cajero, el disco ya está contaminado", explicó durante el encuentro de tecnología Campus Party realizado en Expo Guadalajara.

La última versión del ataque, agrega el experto, incluso proporciona un boucher del retiro para evitar atracos al interior de las organizaciones delictivas que coordinan los robos a cajeros automáticos.

Por la forma de operación, también se atribuye que quienes perpetúan el robo son ex trabajadores de las firmas desarrolladoras de cajeros automáticos o que tienen acceso a los códigos del sistema para poder manipularlo pues, según Grego, los bancos no tienen acceso a estos códigos porque están protegidos por "secreto industrial".

Inacción de los bancos

Si bien la vulnerabilidad sigue activa y en cualquier momento puede ocurrir algún ataque coordinado, lo cierto es que las instituciones bancarias han minimizado esta amenaza y en condición de secrecía.

" Los bancos afectados se sientan en la Asociación de Bancos de México (ABM), se ven las caras y cuando preguntan si alguno tuvo problema con Ploutus, todos responden que no. Como no hubo una afectación a clientes, el banco no dice nada porque la norma no los obliga", afirmó.

Grego dice que este es un problema en la regulación global ya que a los bancos no se les obliga a divulgar este tipo de afectaciones ya que no se registró un impacto directo a los usuarios.

Pero acota que entre los daños colaterales de estos robos dentro de los bancos es el recorte de personal o menor inversión en sistemas de seguridad a raíz de estos atracos, aunque estos movimientos se argumentan como estrategias para aumentar la eficiencia.

"Los modelos de las marcas más grandes son los más difundidos y los que más han sido afectados porque tienen sólo una versión y a lo mejor impacto al 30% o 35% de los modelos del mercado local, pero necesitan estar fuera de la sucursal", comentó.

julio.sanchez@eleconomista.mx

mfh