Un simple correo electrónico con una supuesta factura pendiente fue suficiente para que decenas de empresas argentinas cayeran en una sofisticada operación de fraude informático.
La investigación, denominada Operación Tenevoy, identificó una red que utilizó el troyano bancario Mekotio para robar dinero de cuentas empresariales, convertirlo en criptomonedas y moverlo hasta una estructura financiera clandestina.
El correo electrónico que parecía una factura
De acuerdo con la investigación judicial, los delincuentes enviaban correos electrónicos que simulaban provenir de empresas o proveedores.
Los mensajes incluían archivos maliciosos que instalaban en secreto Mekotio, un troyano bancario ampliamente conocido por atacar entidades y empresas en América Latina.
LEA TAMBIÉN

El engaño aprovechaba situaciones habituales en cualquier oficina. Los correos aparentaban contener facturas pendientes, comprobantes de pago o documentos administrativos, aumentando las posibilidades de que algún empleado abriera el archivo sin sospechar que estaba infectando el computador de la empresa.
Un correo paralizó a 40 empresas. Foto:iStock
¿Qué hace Mekotio una vez infecta el equipo?
A diferencia del ransomware, que bloquea los archivos y exige un pago para recuperarlos, Mekotio actúa de forma silenciosa.
El malware permanece oculto dentro del sistema mientras monitorea la actividad financiera, captura credenciales de acceso y permite a los atacantes ingresar a las plataformas bancarias de las víctimas.
un malware que pasaba como un ‘simple correo corporativo’ Foto:iStock
Con esa información, los delincuentes realizan transferencias hacia cuentas controladas por terceros, conocidas como cuentas mula, desde donde el dinero continúa su recorrido para dificultar su rastreo.
En campañas anteriores detectadas, Mekotio también ha sido utilizado para mostrar formularios falsos que imitan páginas oficiales de bancos y para reemplazar automáticamente direcciones de billeteras digitales copiadas por los usuarios, desviando transferencias de criptomonedas sin que la víctima lo note.
LEA TAMBIÉN

Un malware que pone en alerta a Latinoamérica
Mekotio no es una amenaza nueva. Investigaciones de empresas de ciberseguridad como ESET documentaron campañas que utilizaron este malware para suplantar entidades tributarias en México y Chile, además de organismos públicos y empresas de servicios en Argentina.
Los especialistas advierten que el malware continúa activo en América Latina y adapta constantemente sus métodos de engaño para dirigirse a nuevos países y sectores empresariales.
LEA TAMBIÉN

Cómo ocultaban el dinero robado
La investigación determinó que los fondos robados eran convertidos en criptomonedas estables como USDT y USDC para dificultar su rastreo.
Posteriormente eran distribuidos entre diferentes billeteras digitales y enviados, principalmente, hacia Brasil mediante la red Tron, utilizada por su rapidez y bajos costos de transacción.
Los malwares son utilizados para robar información financiera y otros datos confidenciales. Foto:iStock
Los investigadores lograron seguir el recorrido del dinero hasta una estructura financiera clandestina conocida como Dólar Belgrano, que presuntamente ofrecía servicios de intercambio entre criptomonedas y dinero en efectivo.
LEA TAMBIÉN

Cinco detenidos durante la Operación Tenevoy
Como parte de la Operación Tenevoy, las autoridades realizaron 17 allanamientos en la ciudad y la provincia de Buenos Aires. Durante el procedimiento fueron detenidas cinco personas y otras siete quedaron vinculadas a la investigación.
Entre los bienes incautados se encontraban más de 150.000 dólares en criptomonedas, cerca de 32.000 dólares en efectivo, alrededor de 60.000 dólares en cuentas de inversión, dinero en distintas monedas, además de teléfonos celulares, computadores portátiles, discos duros y otros dispositivos electrónicos que serán analizados como parte del proceso judicial.
Expertos en ciberseguridad recomiendan complementar la capacitación del personal con controles adicionales, como la verificación de transferencias mediante doble autorización, la restricción de herramientas de acceso remoto, la autenticación multifactor y el monitoreo permanente de operaciones bancarias inusuales.
La Nación (Argentina) / GDA.
Más noticias en EL TIEMPO
*Este contenido fue reescrito con la asistencia de una inteligencia artificial, basado en información de La Nación (GDA), y contó con la revisión de la periodista.

