vulnerabilidades
Imagina que te han invitado a una partida de póker privada con atletas famosos. ¿En quién confiarías más para barajar el mazo, en un crupier o en un dispositivo automatizado especializado? Básicamente, esta pregunta se reduce a decidir en qué tienes más fe: en la honestidad del crupier o en la fiabilidad de la máquina. Probablemente muchos jugadores de póker preferirían el dispositivo especializado, ya que es claramente más difícil de sobornar o coaccionar que a un crupier humano. Sin embargo, en 2023, los investigadores de ciberseguridad demostraron que uno de los modelos de barajador automáticos más populares, DeckMate 2 fabricado por Light & Wonder, es bastante fácil de hackear.
Dos años después, las autoridades encontraron rastros de estos dispositivos manipulados, no en un laboratorio, sino en la calle. Esta publicación detalla cómo funciona el barajador DeckMate 2, por qué su diseño facilita el engaño, cómo los delincuentes utilizaron este truco como arma y qué tiene que ver el baloncesto con todo esto.
Cómo funciona el barajador automático de cartas DeckMate 2
El barajador automático DeckMate 2 entró en producción en 2012. Desde entonces, se ha convertido en uno de los modelos más populares y se utiliza en casi todos los principales casinos y clubes de póker privados del mundo. El dispositivo es básicamente una caja negra del tamaño aproximado de una trituradora de papel de oficina normal, que suele instalarse debajo de la mesa de póker.
El DeckMate 2 es un barajador automático profesional que baraja rápidamente la baraja y, al mismo tiempo, verifica que estén presentes las 52 cartas y que no se haya introducido ninguna carta adicional. Fuente
Sobre la superficie de la mesa, solo se ve un pequeño compartimento donde se colocan las cartas para barajar. La mayoría de los jugadores comunes probablemente no se den cuenta de que la parte “submarina” de este “iceberg” es significativamente más grande y más compleja de lo que parece a primera vista.
Así es como se ve el DeckMate 2 cuando se instala en una mesa de juego: todo lo divertido queda oculto bajo la superficie. Fuente
Después de que el crupier coloca la baraja dentro del DeckMate 2, la máquina pasa las cartas una a una por un módulo de lectura. En esta fase, el dispositivo verifica que la baraja contiene las 52 cartas y nada más; si no es así, la pantalla conectada muestra una alerta. Después, la máquina baraja las cartas y devuelve la baraja al crupier.
El DeckMate 2 tarda solo 22 segundos en barajar un mazo y comprobar las cartas mientras lo hace. La comprobación de cartas faltantes o sobrantes utiliza una cámara interna que escanea cada carta de la baraja, y esta cámara también participa en la clasificación de la baraja. Es difícil imaginar el uso práctico de esa última característica en los juegos de cartas; se podría suponer que los diseñadores la añadieron simplemente porque podían hacerlo.
Adelantándonos un poco, esta cámara es lo que literalmente ha permitido ver la secuencia de las cartas tanto a los investigadores como a los actores maliciosos. El modelo anterior, el Deck Mate, no tenía una cámara de este tipo, por lo que no ofrecía ninguna forma de ver el orden de las cartas.
Para mantener alejados a los hackers, DeckMate 2 utiliza una comprobación hash diseñada para confirmar que el software no ha sido alterado después de la instalación. Al iniciarse, el dispositivo calcula el hash del firmware y lo compara con la referencia almacenada en la memoria. Si los valores coinciden, la máquina asume que su firmware no ha sido modificado y continúa; si no es así, el dispositivo debe reconocer un intento de manipulación.
Además, el diseño de DeckMate 2 incluye un puerto USB, que se utiliza para cargar actualizaciones de firmware. Los dispositivos DeckMate 2 también se pueden alquilar al fabricante Light & Wonder en lugar de comprarlos directamente, a menudo con un plan de pago por uso. En este caso, suelen estar equipados con un módem celular que transmite los datos de uso al fabricante para su facturación.
Cómo lograron los investigadores poner en riesgo el DeckMate 2
Probablemente los lectores habituales de nuestro blog ya detectaron varios fallos en el diseño de DeckMate 2 que los investigadores aprovecharon para su prueba de concepto. Lo demostraron en la conferencia de ciberseguridad de Black Hat en 2023.
El primer paso en el ataque consistió en conectar un pequeño dispositivo al puerto USB. Para su punto de contacto, los investigadores utilizaron un microordenador Raspberry Pi, que es más pequeño que la palma de la mano de un adulto. Sin embargo, señalaron que, con los recursos suficientes, los actores maliciosos podrían ejecutar el mismo ataque utilizando un módulo aún más compacto, del tamaño de una memoria USB estándar.
Una vez conectado, el dispositivo alteró discretamente el código del DeckMate 2 y tomó el control. Esto también permitió a los investigadores acceder a la cámara interna mencionada anteriormente, destinada a verificar la baraja. Ahora podían ver el orden exacto de las cartas en la baraja en tiempo real.
A continuación, esta información se transmitió por Bluetooth a un teléfono cercano, donde una aplicación experimental mostraba la secuencia de cartas.
La aplicación experimental creada por los investigadores recibe el orden de las cartas a través de Bluetooth del DeckMate 2 pirateado. Fuente
El exploit se basa en que el cómplice del tramposo maneje el teléfono con la aplicación instalada. Luego, esta persona puede usar gestos o señales sutiles para indicarle al jugador que está haciendo trampa.
Los investigadores pudieron obtener este grado de control sobre el DeckMate 2 por una vulnerabilidad en sus contraseñas codificadas. Para sus experimentos, compraron varios barajadores de segunda mano y uno de los vendedores les proporcionó la contraseña de servicio destinada al mantenimiento de DeckMate 2. Los investigadores extrajeron las contraseñas restantes, incluida la contraseña raíz, del firmware del dispositivo.
Estas contraseñas del sistema en el DeckMate 2 las establece el fabricante y es muy probable que sean idénticas para todos los dispositivos. Al estudiar el código del firmware, los investigadores descubrieron que las contraseñas estaban codificadas en el sistema, lo que dificultaba cambiarlas. Como resultado, el mismo conjunto de contraseñas, conocido por un círculo bastante amplio de personas, probablemente protege a la mayoría de las máquinas en circulación. Esto significa que casi todos los dispositivos podrían ser vulnerables al ataque desarrollado por los investigadores.
Para eludir la comprobación del hash, los investigadores simplemente sobrescribieron el hash de referencia almacenado en la memoria. Al iniciarse, el dispositivo calculaba el hash del código modificado, lo comparaba con el valor de referencia igualmente modificado y consideraba que el firmware era auténtico.
Los investigadores también señalaron que los modelos equipados con módems celulares podían ser pirateados de forma remota, a través de una estación base falsa a la que el dispositivo se conectaría en lugar de a una torre celular real. Si bien no probaron la viabilidad de este vector de ataque, no parece inverosímil.
Cómo la mafia ha usado las máquinas DeckMate 2 manipuladas en juegos de póker reales
Dos años después, las advertencias de los investigadores recibieron una confirmación en el mundo real. En octubre de 2025, el Departamento de Justicia de los Estados Unidos acusó a 31 personas de organizar una serie de partidas de póker fraudulentas. Según los documentos del caso, en estas partidas, un grupo de delincuentes utilizó diversos medios técnicos para obtener información sobre las manos de sus oponentes.
Estos medios incluían cartas con marcas invisibles emparejadas con teléfonos, gafas especiales y lentes de contacto capaces de leer estas marcas de forma encubierta. Pero lo más importante para el contexto de este artículo es que los estafadores también utilizaron máquinas DeckMate 2 hackeadas y configuradas para transmitir información en secreto sobre las cartas que acabarían en la mano de cada jugador.
Y aquí es donde finalmente llegamos a la parte sobre el baloncesto y los atletas de la NBA. Según la acusación, el esquema involucró a miembros de varias familias de la mafia, así como a exjugadores de la NBA.
Según la investigación, los estafadores organizaron una serie de partidas de póker de altas apuestas durante varios años en diversas ciudades de Estados Unidos. Las víctimas adineradas se sintieron atraídas por la oportunidad de jugar en la misma mesa que las estrellas de la NBA (que niegan haber cometido un delito). Los investigadores estiman que las víctimas perdieron un total de más de 7 millones de dólares.
Los documentos revelados contienen un relato verdaderamente cinematográfico de cómo los estafadores utilizaron las máquinas DeckMate 2 hackeadas. En lugar de manipular los dispositivos DeckMate 2 de otras personas a través de un puerto USB, como demostraron los investigadores, los delincuentes utilizaron barajadores previamente hackeados. En un episodio se detalla incluso cómo miembros de la mafia roban un dispositivo vulnerado a punta de pistola.
A pesar de esta… peculiar modificación del primer paso del ataque, la esencia fundamental siguió siendo prácticamente la misma que la del punto de contacto de los investigadores. Las máquinas DeckMate 2 hackeadas transmitían información a un operador remoto, que a su vez la enviaba al teléfono de un participante. Los delincuentes se referían a este operador como el “mariscal de campo”. El estafador luego usaba señales sutiles para dirigir el curso del juego.
Qué lecciones podemos aprender de esta historia
En sus comentarios a los periodistas, los fabricantes de DeckMate 2 afirmaron que, después de la investigación sobre la vulnerabilidad del dispositivo, implementaron varios cambios tanto en el hardware como en el software. Estas mejoras incluyeron la desactivación del puerto USB expuesto y la actualización de las rutinas de verificación del firmware. Seguramente, los casinos con licencia han instalado estas actualizaciones. Bueno, esperemos que lo hayan hecho.
Sin embargo, el estado de estos dispositivos utilizados en clubes de póker privados y casinos ilegales sigue siendo muy cuestionable. Estos lugares suelen emplear máquinas DeckMate 2 de segunda mano sin actualizaciones ni un mantenimiento adecuado, lo que las hace especialmente vulnerables. Y eso sin tener en cuenta los casos en los que la propia casa podría tener motivos para manipular las máquinas.
A pesar de todos los detalles intrigantes del hackeo de DeckMate 2, se basa en elementos bastante típicos: contraseñas reutilizadas, un puerto USB y, por supuesto, locales de juego sin licencia. En este sentido, el único consejo para los aficionados al juego es que se mantengan lejos de los clubes de juego ilegales.
La conclusión general que se puede extraer de esta historia es que las contraseñas preestablecidas del sistema deben cambiarse en cualquier dispositivo, ya sea un router Wi-Fi o un barajador de cartas. Para generar una única contraseña segura y recordarla, utiliza un administrador de contraseñas fiable. Por cierto, también puedes utilizar Kaspersky Password Manager y generar códigos de un solo uso para la autenticación de dos factores.
