Malware a empresas y criptomonedas: allanamiento en Olavarría en un operativo internacional

La Policía Federal Argentina desarticuló una organización cibercriminal. Se investigan estafas por 1.500 millones de pesos. La investigación estuvo a cargo de Fiscales de la provincia de Buenos Aires, entre ellos Lucas Moyano.

Agentes de la División Delitos Tecnológicos de Policía Federal Argentina desmantelaron una red nacional e internacional de hackers acusados por una defraudación informática millonaria que generaban criptomonedas ilegales. La fuerza policial informó que uno de los más de 50 allanamientos realizados se concretó en Olavarría.

Esta investigación surgió a raíz de múltiples denuncias por defraudación informática, donde se detectó la implantación de un malware (software malicioso que infecta sistemas informáticos para obtener acceso a información confidencial, dañar archivos o robo de cuentas bancarias), en empresas privadas y firmas financieras.

De esta manera, se consideró desmantelada una red de hackers creadores de un gigantesco fraude informático. “Es el golpe más grande que se ha dado en el país a las maniobras ilegales de criptoactivos” se definió.

Intervinieron las Unidades Fiscales del Ministerio Público Fiscal de la Provincia de Buenos Aires, con la colaboración del equipo especializado en la investigación de criptoactivos de la Procuración General, en razón de haber detectado múltiples denuncias por el delito de defraudación informática, mediante la implantación de dicho malaware en varias empresas.

De las amplias y discretas investigaciones realizadas por los efectivos federales, se estableció que los ciberdelincuentes utilizaban un sofisticado software malicioso creado para dañar los sistemas operativos y obtener las credenciales bancarias de diversas compañías, permitiéndoles vaciar sus cuentas y desviar los fondos a numerosas billeteras de cripto activos para no ser detectados y de esta manera dificultar su rastreo y su recuperación.

Las pesquisas incluyeron la utilización de un software especializado en el seguimiento de criptomonedas, permitiendo llevar adelante la trazabilidad de los fondos y su posterior análisis. Asimismo, fueron monitoreados los flujos de fondos de los blockchains (registro de transacciones digitales ) y el intercambio de criptodivisas, pudiendo así rastrear los monederos utilizados e identificar a sus titulares que operaban en nuestro país y en distintos países de Latinoamérica, con diferente grado de participación.

Como resultado de las diversas investigaciones se estableció que el monto de las transacciones ilegales e intercambio de criptodivisas ascendió a 1.500 millones de pesos aproximadamente.

Con el total de las pruebas obtenidas, el Departamento Especializado en Investigación de Criptodivisas del Equipo de Coordinación Fiscal de la Procuraduría de la Provincia de Buenos Aires, fundamentó el requerimiento a las fiscalías interventoras para efectuar los respectivos allanamientos de manera simultánea.

De esta manera se efectuaron 54 allanamientos realizados en la Ciudad de Buenos Aires, Remedios de Escalada, Villa Elisa, La Plata, Ingeniero Budge, Quilmes, Lomas de Zamora, Virrey del Pino, San Martín, Merlo, Hurlingham, José C. Paz, Villa Dominico, Florencio Varela, Avellaneda, Almirante Brown, Olavarría, Chivilcoy y en las provincias de Jujuy, Misiones, Entre Ríos, Chaco, Santa Fe, Tucumán y Río Negro. Además se procedió a la detención de los tres principales integrantes de dicha organización criminal como también de los tres partícipes necesarios del desvío de los fondos. De igual modo fueron notificados de la causa 48 personas. Cabe destacar que se emitieron nueve detenciones internacionales con alerta roja de Interpol para ciudadanos residentes en países tales como Brasil, Venezuela, Ecuador, México, Colombia y Estados Unidos.

El procedimiento permitió el congelamiento de billeteras virtuales cuyo monto asciende a 18 mil cripto activos USDT (aproximadamente 18 millones de pesos). Asimismo se secuestró 800 mil pesos, 200 dólares, 71 teléfonos celulares, 5 dispositivos electrónicos, 14 notebooks, 5 tablets, 12 dispositivos de almacenamiento, 6 computadoras de escritorio, 7 billeteras virtuales congeladas y demás elementos de interés para la causa.

Además de los 54 allanamientos efectuados por los efectivos federales, se realizaron ocho procedimientos llevados a cabo por personal de la Policía de la Provincia de Buenos Aires de forma simultánea.

Los 16 detenidos junto a los elementos secuestrados quedaron a disposición del magistrado interventor.

La investigación

La labor de investigación estuvo a cargo de los Agentes Fiscales de la provincia de Buenos Aires, a saber: el Dr. Martin Laius, la Dra. Pamela Ricci y el Secretario Franco Gasparini del Departamento Judicial Junín; las Dras. Andrea Andoniades, Verónica Perez y la Secretaria Gimena Rozas del Departamento Judicial San Martín; el Dr. Jorge Leveratto y el Secretario Julio Pérez Carreto del Departamento Judicial San Nicolás; el Dr. Rodolfo De Lucía y la Secretaria Natalia Lavirgen Wolf del Departamento Judicial Bahía Blanca; el Dr. Martín Almirón y la Secretaria Myriam Caciani Milgram del Departamento Judicial La Plata; el Dr. Alejandro Musso y los Secretarios Denise Banchero y Alejandro Orlandini del Departamento Judicial San Isidro; el Dr. Lucas Moyano y el Contador Roberto Terriele del Departamento Judicial Azul; y la Dra. Mariana Curra Zamaniego y el Secretario Leandro Montejo del Departamento Judicial Quilmes.

El operativo se llevó adelante bajo la coordinación del equipo de investigadores de Criptoactivos del Departamento de Ciberdelitos y Tecnologías Aplicadas de la Procuración General de la provincia de Buenos Aires, dirigido por la Dra. Gisela Burcatt, dependiente de la Secretaria de Política Criminal, Coordinación Fiscal e Instrucción Penal, a cargo del Dr. Francisco Pont Verges. La dirección operativa estuvo a cargo del coordinador del equipo de investigadores de criptoactivos, Dr. Rafael García Borda, con la especial asistencia de la Dra. María Sol Cinosi, Dra. María Celeste Seguí, y los peritos Dr. Sergio Carriquiriborde y Horacio Martino.

Se realizó en conjunto con la División de Delitos Tecnológicos de la Policía Federal Argentina, dependiente de la Superintendencia de Investigaciones a cargo del Comisario Mayor Martín De Cristobal, la Oficina Central Nacional de INTERPOL y DINIC del Ministerio de Seguridad de la Nación.

Asimismo, fue destacada la colaboración prestada por los exchanges Binance y Lemon, que pusieron a disposición tanto la información contenida en sus bases de datos, como especialistas de sus áreas de fraude para asistir en el análisis de la información.

Modus Operandi

¿Cómo funcionan en general estas maniobras? La víctima, que posee el manejo de una “cuenta empresa”, por ser la dueña de la empresa o tesorero, apoderado, etc. recibe un documento o link malicioso, muchas veces disfrazados de información habitual para la empresa o asociación, como un presupuesto o curriculum vitae, al ingresar en ellos cae en una trampa silenciosa sin darse cuenta, ya que este tipo de malware se descargan lentamente por partes en la computadora, circunstancia que impide a la mayoría de los firewall detectarlo.

Una vez infectada la PC, cuando la propia víctima ingresa a su homebaking, aparece una pantalla requiriendo validación de contraseña y pierde el control de su computadora. Cuando la víctima recobra el control se anoticia que su cuenta fue vaciada mediante una o varias transferencias a terceros desconocidos, dinero que luego es utilizado para comprar criptomonedas.

La mayoría de los malware detectados, se asimilan a un Troyano Brasilero llamado “Grandoreiro”, que resulta ser un RAT (Troyano de Acceso Remoto), diseñado con el objetivo principal de tomar el control del equipo víctima y hacer transferencias de dinero a cuentas manejadas por los ciberdelincuentes. Una vez instalado el software malicioso en el equipo de la víctima, el ciberdelincuente operador del RAT supervisa la actividad del usuario y aprovecha el momento en el cuál navega en su homebanking para mostrarle una imagen que simula estar actualizando el equipo. Detrás de esta imagen, el operador toma el control del homebanking y realiza el proceso de transferencia de dinero a cuentas mulas.

Otros de los datos característicos relevantes fue la implicancia del mercado Peer to Peer – P2P (que permite a los usuarios intercambiar criptoactivos entre sí), los ciberdelincuentes utilizaron directamente el dinero sustraído, para comprar USDT a diversos traders en nombre de la propia víctima.