Entre las amenazas más destacadas analizadas durante 2020 y lo que llevamos de 2021 que han afectado a usuarios españoles, las campañas protagonizadas por los troyanos bancarios con origen en América Latina han sido una de las más activas. La firma de ciberseguridad ESET informa de una operación policial que ha logrado detener a parte de la infraestructura de los grupos criminales detrás de estas amenazas.

En la Operación Aguas Vivas, el Ministerio del Interior y la Guardia Civil confirman la detención de 16 personas relacionadas con las bandas responsables de los troyanos bancarios Mekotio y Grandoreiro. La operación también permitió bloquear la transferencia de 3,5 millones€ tras analizar más de 1.800 correos electrónicos.

La Guardia Civil informó además del esclarecimiento de 20 delitos de estafa que estaban siendo investigados, por un importe total de 276.470€, de los que se han recuperado 87.000. Además, los investigadores detectaron una actividad sospechosa en al menos 68 cuentas de correo electrónico pertenecientes a organismos oficiales, cuyos sistemas ya estaban infectados con variantes de los troyanos «Mekotio» y «Grandoreiro”.

Todo apunta a que las 16 personas detenidas son las encargadas de recoger el dinero sustraído de las cuentas bancarias de las víctimas y enviarlo a los grupos de delincuentes responsables de desarrollar estas amenazas.

Estos troyanos bancarios están preparados para robar credenciales de acceso a un elevado número de bancos, tras lo cual proceden a realizar transferencias desde las cuentas de las víctimas hasta otras cuentas controladas por ‘muleros’, o incluso realizar transferencias por Bizum o sacar dinero en metálico desde cajeros.

ESET ha documentado la evolución de estas familias de troyanos desde inicios de 2020. Los delincuentes han estado usando numerosas plantillas de correos electrónicos para tratar de convencer a los usuarios que los recibían. Así pues, hemos visto como los delincuentes han suplantado a organismos oficiales como el Ministerio de Trabajo, la Agencia Tributaria, el Ministerio de Sanidad o la propia Guardia Civil.

Además, también se han suplantado empresas como Correos, Vodafone, Mercadona, Telefónica o Endesa, y en los últimos meses se ha observado cómo los delincuentes han preferido enviar estos correos con asuntos genéricos mencionando supuestas facturas pendientes de pago, facturas electrónicas, recibos de servicios tributarios, bloqueos judiciales, comprobantes de transferencia bancaria y  correos con un burofax online.

Los delincuentes responsables de estas amenazas han utilizado en alguna ocasión métodos menos habituales para propagarse como, por ejemplo, la descarga desde webs pornográficas o la utilización de un falso vídeo que se compartía usando Facebook Messenger.

Estas y otras familias de troyanos bancarios eran ya conocidas hace tiempo por los investigadores de ESET y en especial por el equipo en Latinoamérica. En 2020, los delincuentes responsables de su desarrollo y propagación decidieron dar el salto y comenzaron a afectar a países europeos, siendo España su principal objetivo.

Esta expansión fuera de su zona habitual de actuación fue acompañada de un incremento en la sofisticación de ambas familias de malware. Grandoreiro es un malware que lleva desarrollándose desde 2016, y Mekotio empezó su actividad en 2020.

Para Josep Albors, director de investigación y concienciación en ESET España, “la detención de delincuentes relacionados con amenazas que han estado afectando de forma importante a usuarios de nuestro país siempre son buenas noticias». «Sin embargo, no debemos olvidar que los grupos responsables de desarrollar estos troyanos se ubican a miles de kilómetros de distancia y hasta que no se realicen operaciones policiales en sus lugares de residencia no podremos estar tranquilos, por lo que debemos seguir protegiéndonos con soluciones de seguridad que han demostrado ser eficaces para detectar y bloquear estas amenazas”, avisa.