Back to: CASFP – Certified Specialist in ATM Security and Fraud Prevention
1.1 Historia y Evolución de Ataques a Cajeros Automáticos (ATM)
La evolución de los ataques a cajeros automáticos refleja una transformación progresiva de técnicas rudimentarias hacia métodos altamente especializados. Esta sección ofrece un análisis detallado de cada etapa histórica, clasificando los ataques por tipo, tecnología utilizada, nivel de acceso requerido y vulnerabilidad explotada.
1.1.1 Primeras Generaciones: Ataques Mecánicos y Vandalismo (1960–1979)
🛠️ Primeras Generaciones: Ataques Mecánicos y Vandalismo (1960–1979)
Los primeros cajeros automáticos fueron blanco de ataques físicos directos que buscaban vulnerar su estructura sin considerar aspectos tecnológicos o lógicos.
Uso de palancas, sierras, sopletes y otros instrumentos para romper la carcasa metálica del cajero.
Técnicas destructivas como gasificación y explosivos para extraer efectivo rápidamente.
Diseño estructural sin protección antisabotaje ni mecanismos de refuerzo interno.
1.1.2 Fraudes de Tarjeta: Skimming y Card Trapping (1980–1995)
- Skimming: Introducción de dispositivos falsos en el lector de tarjetas para clonar información de la banda magnética.
- Card trapping: Instalación de mecanismos para retener la tarjeta, lo que permite al atacante recuperarla posteriormente.
- PIN harvesting: Uso de cámaras ocultas o superposición de teclados para capturar el PIN del usuario.
- Referencias:
1.1.3 Primeros Ataques Lógicos y Redireccionamiento de Software (1995–2005)
- Acceso al sistema operativo: Explotación de vulnerabilidades de Windows XP Embedded o DOS.
- Modificación de scripts locales: Ataques manuales con boot disks o comandos directos sobre el middleware XFS.
- Falta de autenticación interna: Las conexiones entre módulos (lector, dispensador) no estaban cifradas ni autenticadas.
1.1.4 Malware ATM y Jackpotting (2006–2015)
- Ploutus: Malware mexicano que permite enviar comandos al ATM vía teclado o SMS.
- Cutlet Maker: Herramienta de código semiabierto para realizar jackpotting en dispensadores específicos (Wincor, Diebold).
- Tyupkin: Malware que infecta ATM mediante acceso físico con USB, operando en horarios específicos para evitar detección.
- Referencias técnicas:
1.1.5 Ataques de Caja Negra y Acceso Directo al Dispensador (2015–2020)
- Black Box Attack: Desconexión del PC del ATM y conexión de un dispositivo externo para enviar comandos al dispensador.
- Dispositivos Raspberry Pi y Arduino: Usados como controladores para replicar señales de entrega de efectivo.
- Impacto: Europa y América Latina fueron principales objetivos en campañas coordinadas.
- Informe: Europol – Cashing in on ATM Malware
1.1.6 Ciberataques Remotos y Coordinados (2020–Presente)
- Redes comprometidas: Explotación de VPNs bancarias, servicios de escritorio remoto, vulnerabilidades de red.
- Simultaneidad: Múltiples ATMs atacados en diferentes regiones, incluso fuera del horario bancario.
- Integración de APTs: Grupos como Lazarus han atacado ATMs como parte de campañas globales.
- Referencias:
UNC2891: Intrusión Físico-Lógica con Backdoor Remoto (2025)
En julio de 2025, un sofisticado grupo APT logró infiltrarse en la red interna de una institución financiera mediante un acceso físico a uno de sus cajeros automáticos. Se conectó un Raspberry Pi con módem 4G directamente a un switch de red detrás del ATM, estableciendo una conexión remota oculta con el servidor de comando y control (C2).
El ataque utilizó un backdoor avanzado llamado TINYSHELL, que se ejecutaba como proceso encubierto usando bind mounts sobre /proc, eludiendo herramientas de monitoreo del sistema. Posteriormente, se intentó desplegar CAKETAP, un componente diseñado para comunicarse con el módulo de seguridad HSM del cajero y manipular operaciones críticas de efectivo.
Aunque el incidente fue contenido, el caso mostró cómo una breve exposición física puede dar lugar a intrusiones lógicas persistentes de alto impacto si no se cuenta con monitoreo de integridad, control de puertos físicos y segmentación real de red.
1.1.7 Tabla de Comparación Técnica por Década
| Década | Tipo de Ataque | Acceso Requerido | Tecnología Utilizada |
|---|---|---|---|
| 1960–1979 | Físico / Vandalismo | Presencial | Herramientas mecánicas |
| 1980–1995 | Skimming / Card Trap | Presencial | Dispositivos magnéticos |
| 1995–2005 | Lógico | Físico o LAN | Software / comandos |
| 2006–2015 | Malware y Jackpotting | USB o red interna | Malware, scripts |
| 2016–2020 | Caja Negra | Físico | Hardware externo |
| 2020+ | Ciberataques APT | Remoto / red | RATs, VPN, malware |
| 2025 | Intrusión física + backdoor | Acceso físico y red 4G | TINYSHELL, CAKETAP, Raspberry Pi |
Conclusión
El estudio de la evolución histórica de los ataques a ATMs permite comprender cómo han ido adaptándose los atacantes frente a nuevas tecnologías y barreras defensivas. Este conocimiento es esencial para diseñar sistemas de protección que anticipen vectores emergentes, combinen defensa física con ciberseguridad, y contemplen escenarios avanzados como el malware polimórfico, el uso de dispositivos como Raspberry Pi en accesos físicos y el despliegue de backdoors como TINYSHELL.
1.1 History and Evolution of ATM Attacks
The evolution of ATM attacks shows a progressive transformation from rudimentary techniques to highly specialized methods. This section provides a detailed analysis of each historical phase, classifying attacks by type, technology used, level of access required, and exploited vulnerabilities.
1.1.1 First Generations: Mechanical Attacks and Vandalism (1960–1979)
🛠️ First Generations: Mechanical Attacks and Vandalism (1960–1979)
Early ATMs were targeted by direct physical attacks aiming to breach the structure without considering logical or technological aspects.
Use of crowbars, saws, torches, and other instruments to break the ATM’s metal casing.
Destructive methods like gasification and explosives to quickly extract cash.
Structural design lacked anti-sabotage protection and internal reinforcement.
1.1.2 Card Fraud: Skimming and Card Trapping (1980–1995)
- Skimming: Fake devices placed on card readers to clone magnetic stripe data.
- Card trapping: Mechanisms installed to retain the card for later retrieval by the attacker.
- PIN harvesting: Use of hidden cameras or fake keypads to capture user PINs.
- References:
1.1.3 Early Logical Attacks and Software Redirection (1995–2005)
- Operating system access: Exploiting Windows XP Embedded or DOS vulnerabilities.
- Local script modification: Manual attacks using boot disks or direct XFS middleware commands.
- Lack of internal authentication: Module connections (reader, dispenser) were not encrypted or authenticated.
1.1.4 ATM Malware and Jackpotting (2006–2015)
- Ploutus: Mexican malware that allows sending commands via keypad or SMS.
- Cutlet Maker: Semi-open tool for jackpotting specific dispensers (Wincor, Diebold).
- Tyupkin: Malware that infects ATMs through USB, operating at specific hours to evade detection.
- Technical references:
1.1.5 Black Box Attacks and Direct Dispenser Access (2015–2020)
- Black Box Attack: Disconnecting the ATM PC and connecting an external device to send dispenser commands.
- Raspberry Pi and Arduino devices: Used to replicate cash dispensing signals.
- Impact: Europe and Latin America were main targets of coordinated campaigns.
- Report: Europol – Cashing in on ATM Malware
1.1.6 Remote and Coordinated Cyberattacks (2020–Present)
- Compromised networks: Exploiting bank VPNs, remote desktop services, and network vulnerabilities.
- Simultaneity: Multiple ATMs targeted across different regions, often outside banking hours.
- APT integration: Groups like Lazarus have attacked ATMs as part of global campaigns.
- References:
UNC2891: Physical-Logical Intrusion with Remote Backdoor (2025)
In July 2025, a sophisticated APT group infiltrated the internal network of a financial institution through physical access to one of its ATMs. A Raspberry Pi with 4G modem was directly connected to a network switch behind the ATM, establishing a hidden remote connection to a command and control (C2) server.
The attack used an advanced backdoor called TINYSHELL, which ran as a covert process using bind mounts over /proc, evading system monitoring tools. Later, an attempt was made to deploy CAKETAP, a component designed to communicate with the ATM’s HSM security module and manipulate critical cash operations.
Although the incident was contained, the case demonstrated how brief physical exposure can lead to persistent and high-impact logical intrusions if integrity monitoring, physical port control, and real network segmentation are not in place.
1.1.7 Technical Comparison Table by Decade
| Decade | Attack Type | Required Access | Technology Used |
|---|---|---|---|
| 1960–1979 | Physical / Vandalism | On-site | Mechanical tools |
| 1980–1995 | Skimming / Card Trap | On-site | Magnetic devices |
| 1995–2005 | Logical | Physical or LAN | Software / commands |
| 2006–2015 | Malware and Jackpotting | USB or internal network | Malware, scripts |
| 2016–2020 | Black Box | Physical | External hardware |
| 2020+ | APT Cyberattacks | Remote / network | RATs, VPN, malware |
| 2025 | Physical intrusion + backdoor | Physical access and 4G | TINYSHELL, CAKETAP, Raspberry Pi |
Conclusion
Studying the historical evolution of ATM attacks allows us to understand how attackers have adapted to new technologies and security barriers. This knowledge is essential to design protection systems that anticipate emerging attack vectors, combine physical defense with cybersecurity, and consider advanced scenarios such as polymorphic malware, physical access via Raspberry Pi devices, and deployment of backdoors like TINYSHELL.
Leave a Reply