La Guardia Civil ha detenido a 16 personas en distintos lugares de España relacionadas con las bandas responsables de diversos ciberataques a través de los troyanos bancarios “Mekotio” y “Grandoreiro”. La operación, denominada “Aguas Vivas”, también ha permitido bloquear la transferencia de 3,5 millones de euros tras analizar más de 1.800 correos electrónicos.
Las personas arrestadas eran las responsables presuntamente de recoger el dinero sustraído de las cuentas bancarias de las víctimas y enviarlo a los grupos de delincuentes responsables de desarrollar estas amenazas. En la operación, en la que se ha investigado 20 delitos de estafa por un importe total de 276.470 euros, también se han detectado actividades sospechosas en al menos 68 cuentas de correo electrónico pertenecientes a organismos oficiales, cuyos sistemas ya estaban infectados con variantes de los troyanos «Mekotio» y «Grandoreiro”.
ESET, compañía experta en ciberseguridad. lleva meses detrás de estos troyanos bancarios analizando su forma de actuar. A pesar de que esta familia de troyanos era conocida desde hace tiempo en Latinoamérica por los investigadores de ESET, en 2020 se detectó que los ciberdelincuentes daban el salto a Europa, con España como uno de los principales objetivos. Según los expertos de ESET, en esta expansión “Grandoreiro” y “Mekotio” han incrementado su sofisticación.
Según explica ESET los troyanos bancarios roban las credenciales de acceso a un elevado número de entidades bancarias para posteriormente realizar transferencias desde las cuentas de las víctimas hasta otras cuentas controladas por muleros, o incluso realizar transferencias por Bizum o sacar dinero en metálico desde cajeros.
Entre las características de esta familia de troyanos ESET destaca su método de propagación. ESET ha detectado que los delincuentes han estado usando numerosas plantillas de correos electrónicos para tratar de convencer a los usuarios que los recibían, suplantando organismos oficiales como el Ministerio de Trabajo, la Agencia Tributaria, el Ministerio de Sanidad o la propia Guardia Civil. Además, también se han suplantado empresas como Correos, Vodafone, Mercadona, Telefónica o Endesa durante el pasado año y medio. Sin embargo, en los últimos meses la compañía ha observado como los delincuentes han preferido enviar estos correos con asuntos genéricos mencionando supuestas facturas pendientes de pago, facturas electrónicas, recibos de servicios tributarios, bloqueos judiciales, comprobantes de transferencia bancaria y correos con un burofax online. También, como métodos menos habituales de propagación han empleado la descarga por ejemplo de webs pornográficas o falsos vídeos compartidos por Facebook Messenger.
Para ESET esta operación policial demuestra la importancia que han cobrado estas familias de troyanos dentro del mundo del cibercrimen y el “éxito” de su propagación europea.