Efectivos policiales llevaron a cabo un mega operativo para desbaratar una red de malware y criptomonedas ilícitas que tuvo entre sus víctimas al Colegio St. George de Quilmes, el Círculo de la Policía bonaerense y otras instituciones.
Se realizaron 64 allanamientos simultáneos en todo el país, con un total de 20 detenciones en Argentina y otras 10 en el extranjero, principalmente de ciudadanos venezolanos y brasileños.
Uno de los principales involucrados, Francisco Javier Uribe Urdaneta, de nacionalidad venezolana, operaba desde Estados Unidos, y se está tramitando su extradición. La causa señala que hubo un perjuicio de $1.500 millones.
Las víctimas incluyen instituciones como el Círculo de Policía de la Provincia de Buenos Aires, el Laboratorio Farmacéutico de Quilmes, una empresa en Bahía Blanca y el Colegio Saint George de Quilmes.
Estas entidades sufrieron pérdidas millonarias, las cuales fueron convertidas posteriormente en criptomonedas, principalmente a través de la plataforma Binance, y transferidas a cuentas en el extranjero.
La investigación, liderada por el equipo de investigadores de criptoactivos de la Procuración Bonaerense, contó con la colaboración decisiva del Ministerio de Seguridad de la Nación, la Dirección Nacional de Información Científica, la Policía Federal Argentina y la Interpol.
La colaboración de los exchanges Binance y Lemon, que proporcionaron información crucial de sus bases de datos y expertos en fraude, fue fundamental para el éxito de la investigación.
Los allanamientos se llevaron a cabo en diversas provincias argentinas, incluyendo Buenos Aires, Misiones, Entre Ríos, Chaco, Santa Fe, Tucumán y Río Negro, además de la Ciudad Autónoma de Buenos Aires.
¿Cómo funcionan en general estas maniobras?
La víctima, que posee el manejo de una “cuenta empresa”, por ser la dueña de la empresa o tesorero, apoderado, etc. recibe un documento o link malicioso, muchas veces disfrazados de información habitual para la empresa o asociación, como un presupuesto o curriculum vitae, al ingresar en ellos cae en una trampa silenciosa sin darse cuenta, ya que este tipo de malware se descargan lentamente por partes en la computadora, circunstancia que impide a la mayoría de los firewall detectarlo.
Una vez infectada la PC, cuando la propia víctima ingresa a su homebaking, aparece una pantalla requiriendo validación de contraseña y pierde el control de su computadora. Cuando la víctima recobra el control se anoticia que su cuenta fue vaciada mediante una o varias transferencias a terceros desconocidos, dinero que luego es utilizado para comprar criptomonedas.
La mayoría de los malware detectados, se asimilan a un Troyano Brasilero llamado «Grandoreiro”, que resulta ser un RAT (Troyano de Acceso Remoto), diseñado con el objetivo principal de tomar el control del equipo víctima y hacer transferencias de dinero a cuentas manejadas por los ciberdelincuentes. Una vez instalado el software malicioso en el equipo de la víctima, el ciberdelincuente operador del RAT supervisa la actividad del usuario y aprovecha el momento en el cuál navega en su homebanking para mostrarle una imagen que simula estar actualizando el equipo. Detrás de esta imagen, el operador toma el control del homebanking y realiza el proceso de transferencia de dinero a cuentas mulas.
Otros de los datos característicos relevantes fue la implicancia del mercado Peer to Peer – P2P (que permite a los usuarios intercambiar criptoactivos entre sí), los ciberdelincuentes utilizaron directamente el dinero sustraído, para comprar USDT a diversos traders en nombre de la propia víctima.