En un megaoperativo en simultáneo, policía de Ciudad y Provincia de Buenos Aires lograron desarmar una operación criminal acusada de diversos ataques a pequeñas y medianas empresas argentinas, utilizando un virus troyano y un complejo sistema de mulas y movimientos en criptoactivos con el que lograron robarse más de 600 millones de pesos en poco menos de un año.
Se trataba de un ensamble de distintas bandas, cada una de ellas operando de manera “freelance” para ofrecer sus servicios. Incluían entre sus miembros a un hacker brasileño, una cueva financiera manejada por un ruso, y distintas mulas argentinas, peruanas y venezolanas. Hay cuatro detenidos.
La investigación fue llevada adelante por la DDI especializada en cibercrimen de San Isidro, encabezada por el fiscal Alejandro Musso. Comenzó a mediados de mayo de 2024, con la denuncia de un frigorífico cuyo sistema administrativo fue infectado con un malware conocido como “Mekotio”. El ataque llegó por correo electrónico, con un link que traía escondido el archivo que se descargó en la PC.
Al instalarse, el programa quedó escondido en un segundo plano, monitoreando la actividad financiera que se desarrollaba, tomando montos, cuentas bancarias y claves. En el momento del ataque, la jugada fue certera. En apenas unos minutos se dispararon una serie de transferencias que vaciaron la cuenta bancaria de la empresa.
El modus operandi se repitió con al menos tres empresas más, que sufrieron ataques en el mismo lapso. Las transferencias se realizaban a media docena de personas, titulares de cuentas en bancos privados o públicos. De allí, esas cuentas mula se hacían transferencias a diversas billeteras virtuales, hasta finalmente pasar el dinero a criptoactivos. Luego comenzaba a moverse hasta centralizar en distintas cuentas antes de repartirse entre los miembros de la organización.
Según explicaron a Clarín fuentes judiciales, la organización de estos ataques se hacía a partir del ensamble de distintos actores criminales. Lejos de una banda gigante, las tareas se reparten y se subcontratan. El virus, por ejemplo, se generó en Brasil pero requirió de un grupo de actores argentinos que ofrezcan el servicio de mulas para mover el dinero desde las cuentas de la empresa atacada a una billetera cripto sin levantar suficientes sospechas.
En ese esquema es que apareció una casa de cambio paralela, manejada por un ciudadano ruso que quedó detenido. El nombre no dejó lugar a las suspicacias, la había bautizado ‘Tenevoy’, que en ruso significa ‘en las sombras’.
La investigación, que llevó más de seis meses de entrecruzamiento de datos, arrojó algunas pistas a partir de una serie de errores de manejo en una de las puntas, que hizo un cambio de chip SIM en uno de los celulares con los que se movía y ayudó a pegarlo a la cuenta receptora de los pagos.
A partir de allí se pudo trazar la compleja maraña de transferencias bancarias y cripto que pegaron al ensamble con al menos tres ataques a PyMEs argentinas. “Eligen este tipo de empresas porque tienen facturaciones considerables, pero son lo suficientemente chicas como para no tener una estructura de ciberseguridad que permita repeler un ataque de este tipo”, señaló una fuente.
No se tratan de ataques ‘al voleo’. En estos casos se estudia puntualmente cómo tratar de hacer que pisen el palito y entren en los links infectados los empleados clave de estas empresas que son atacadas.
A partir de la reconstrucción del esquema, la fiscalía ordenó un total de 16 allanamientos simultáneos este martes, seis en Provincia de Buenos Aires y diez en CABA, en el que fueron detenidas en total unas cuatro personas, incluyendo al ciudadano ruso.
Uno de los objetivos fue el secuestro de criptoactivos de las billeteras virtuales de los miembros de la organización, donde lograron incautar unos 25 mil dólares en la cripto USDT.