Detienen a dieciséis personas en España por su colaboración con las estafas de Mekotio y Grandoreiro

En un mundo globalizado y regido por las leyes de internet, las amenazas saltan de un país a otro sin mayores apuros.

Los troyanos bancarios con origen latinoamericano, por ejemplo, se han convertido en un quebradero de cabeza a este otro lado del charco.

Usuarios españoles están cayendo en las redes de campañas lideradas por troyanos como Mekotio y Grandoreiro, dos amenazas que han sido aminoradas en el marco de la operación Aguas Vivas que ha terminado con la detención de dieciséis personas en varios puntos de la geografía española por presuntos delitos de estafa y pertenencia a organización criminal.

Estas personas se encontraban en las localidades de Madrid, Parla, Móstoles, Seseña, Villafranca de los Barros, Aranda de Duero y Ribeira.

Los detenidos, según ha trascendido, eran los encargados de recoger el dinero que los ataques de cibecrimen habían sustraído de cuentas bancarias ajenas a través del robo de credenciales y enviarlo a los líderes de las bandas. Esto acontecía a través de transferencias a cuentas controladas por muleros o sacando dinero desde los propios cajeros.

La intervención de la Guardia Civil ha conseguido bloquear intentos de traspaso de 3,5 millones de euros a los grupos criminales que se encuentran detrás de Mekotio y Grandoreiro. Para ello analizó más de 1800 emails.

También se ha conseguido esclarecer una veintena de delitos de estafa por un importe de 276 470 euros, de los que se recuperaron 87 000.

Por otro lado, los investigadores confirman la detección de actividad sospechosa en unas 68 cuentas de correo electrónico de organismos oficiales, cuyos sistemas habían resultado infectados.

Las indagaciones se han prolongado durante más de un año y fueron iniciada por las denuncias de diferentes organismos que sufrieron email spoofing.

Grandoreiro es un malware que lleva vivo desde 2016, mientras que Mekotio agudizó su actividad en el año 2020.

El pasado verano el segundo de estos troyanos ya se había instalado en España, como uno de sus destinos predilectos. Aquí llegó vía spam, haciéndose pasar por una actualización de seguridad y siendo capaz de actuar como backdoor, haciendo capturas de pantalla, provocando el reinicio de los dispositivos, restringiendo el acceso a páginas de banca legítimas y, en algunos casos, robando bitcoins o extrayendo credenciales almacenadas en el navegador.

Los autores de estas campañas, también las de Grandoreiro, habían aprovechado diferentes plantillas de correo para suplantar a entidades oficiales como el Ministerio de Trabajo, el de Sanidad, la Agencia Tributaria, la Dirección General de Tráfico o la Guardia Civil y a empresas como Correos, Telefónica, Vodafone, Endesa o Mercadona, tal y como recuerdan desde la firma de seguridad ESET.

En alguna ocasión se han difundido con asuntos genéricos, intentando engañar con temas como facturas pendientes de pago, comprobantes bancarios, recibos de servicios tributarios o bloqueos judiciales. Otros métodos para su expansión han sido la difusión de un falso vídeo por Facebook Messenger y descarga desde páginas pornográficas.

Los usuarios debían pinchar en un enlace que iniciaba la descarga e instalación del programa malicioso, que permanecía latente en el sistema hasta el momento justo.

¿Y ahora? El director de investigación y concienciación en ESET España, Josep Albors, advierte de que el desmantelamiento de parte de la cadena no supone su fin definitivo.

“La detención de delincuentes relacionados con amenazas que han estado afectando de forma importante a usuarios de nuestro país siempre son buenas noticias”, reconoce.

“Sin embargo, no debemos olvidar que los grupos responsables de desarrollar estos troyanos se ubican a miles de kilómetros de distancia y hasta que no se realicen operaciones policiales en sus lugares de residencia no podremos estar tranquilos“, señala, “por lo que debemos seguir protegiéndonos con soluciones de seguridad que han demostrado ser eficaces para detectar y bloquear estas amenazas”.

Los expertos recomiendan ser precavidos ante la correspondencia electrónica, leer los mensajes con atención, fijarse en si hay errores gramaticales y desconfiar de adjuntos y enlaces.