Un troyano brasile?o y 133 ¡®mulas¡¯ en Espa?a para saquear miles de cuentas bancarias

La delincuencia no tiene fronteras y mucho menos cuando act¨²a a trav¨¦s de internet. Las polic¨ªas espa?ola y brasile?a, en colaboraci¨®n con Interpol, han dado este viernes por pr¨¢cticamente desmantelada la trama que se vali¨® del virus troyano de origen brasile?o Grandoreiro para saquear las cuentas bancarias de m¨¢s de 3.000 personas en Espa?a y varios miles m¨¢s en otros pa¨ªses de habla hispana y portuguesa, con especial incidencia en Brasil, Portugal y M¨¦xico, seg¨²n ha informado este viernes el Ministerio del Interior.

La detenci¨®n el pasado martes en S?o Paulo de los cinco cabecillas de la red delictiva ha sido el colof¨®n de la Operaci¨®n Ipanema que, desde finales de 2020, ha incluido el arresto, principalmente en Madrid, pero tambi¨¦n en Sevilla, Barcelona o Valladolid, de otras 133 personas. Todas ellas est¨¢n consideradas mulas, t¨¦rmino utilizado en la jerga policial para denominar a personas que por una cantidad de dinero o por un porcentaje de entre el 10% y el 20% prestan su identidad para abrir cuentas bancarias donde se desv¨ªa el dinero defraudado. La operaci¨®n a¨²n busca a otra veintena de estas mulas as¨ª como al programador del programa inform¨¢tico malicioso, oculto en un tercer pa¨ªs.

La operaci¨®n se inici¨® en junio de 2020, cuando CaixaBank denunci¨® ante el Grupo de Ciberataques de la Polic¨ªa Nacional que numerosos clientes de la entidad estaban sufriendo un fraude bancario tras haber visto como sus equipos inform¨¢ticos eran infectados por el troyano Grandoeiro. El contagio se produc¨ªa al recibir falsos correos electr¨®nicos del propio banco que les invitaban a pinchar en enlaces que provocaban la descarga del programa malicioso. El malware ¨Dque ya se extendi¨® de manera masiva durante el confinamiento provocado por la pandemia de covid-19¨D permanec¨ªa inactivo hasta que el usuario consultaba a trav¨¦s de internet sus cuentas de banca electr¨®nica, momento en el que cargaba en el ordenador de la v¨ªctima una imagen que suplantaba la de su entidad bancaria (las conocidas como p¨¢ginas espejo) y comenzaba a recopilar claves y credenciales.

Una vez se hac¨ªa con esta informaci¨®n, la trama realizaba transferencias de dinero a los dep¨®sitos abiertos a nombres de las mulas y, en algunos casos, solicitaban cr¨¦ditos inmediatos de hasta 30.000 euros. Para ello, con la excusa de estar actualizando el software de seguridad del banco, los ciberatacantes solicitaban a las v¨ªctimas, a trav¨¦s de la propia p¨¢gina web fraudulenta que hab¨ªan instalado, las claves de verificaci¨®n autom¨¢tica de un solo uso que recib¨ªan por mensajes SMS en sus tel¨¦fono m¨®viles. Una vez llegaba el dinero a las cuentas abiertas por la trama, las mulas mov¨ªan el dinero r¨¢pidamente de un dep¨®sito a otro ¨Dmuchas veces abiertos en terceros pa¨ªses como B¨¦lgica, Francia, Portugal o Brasil¨D e, incluso, hac¨ªan extracciones en met¨¢lico para adquirir criptomonedas en un intento por dificultar el seguimiento de los fondos. Los clientes del banco solo se percataban de que hab¨ªan sido v¨ªctimas cuando el dinero ya hab¨ªa salido de sus cuentas.

Las pesquisas de la polic¨ªa revelaron que los fraudes no solo afectaban a CaixaBank, sino que tambi¨¦n hab¨ªan sufrido estafas similares clientes del Santander ¨Dun concesionario de coches de Pamplona sufri¨® un fraude de 1,5 millones de euros¨D, BBVA o Banco Sabadell, entre otros. Fuentes cercanas a la investigaci¨®n a?aden que la trama hab¨ªa clonado en realidad las pantallas de las p¨¢ginas webs de la pr¨¢ctica totalidad de las entidades financieras espa?olas. Hasta el momento, la Polic¨ªa ha constatado un fraude consumado de cinco millones de euros solo en Espa?a, aunque tambi¨¦n han encontrado indicios de que hab¨ªan hecho intentos por otros 100 millones. A nivel mundial, los investigadores estiman que la trama consum¨® estafas por m¨¢s de 120 millones de euros, pero que lo intent¨® por un valor de 1.000 millones.

La investigaci¨®n en Espa?a comenz¨® a dar resultados tres meses despu¨¦s de la denuncia. En septiembre de 2020 fueron arrestadas las primeras mulas y en octubre del a?o siguiente eran m¨¢s de un centenar los detenidos. ¡°La operaci¨®n ha contado con tres patas. La primera, la de las mulas, era la m¨¢s sencilla. La segunda, la de los cabecillas de la trama, es la que hemos concluido ahora con los arrestos de Brasil. La tercera es la de persona que desarroll¨® el virus troyano y que lo alquila a grupos criminales como el que hemos desmantelado ahora. Ya est¨¢ identificado, pero a¨²n lo estamos buscando¡±, se?ala el inspector Juan Mar¨ªa Cabo, jefe del Grupo de Ciberataques de la Polic¨ªa Nacional.

El mando policial destaca que las estafas por Grandoreiro sufrieron en Espa?a un brusco frenazo en mayo de 2021, en plena investigaci¨®n, despu¨¦s de que las entidades bancarias implementaran la directiva de la UE que obligaba a pedir una doble autentificaci¨®n para realizar transferencias online. A partir de ese momento y hasta el verano del a?o siguiente, los intentos de fraude por este troyano pr¨¢cticamente desaparecieron. ¡°Volvimos a detectar casos en septiembre de 2022, aunque en mucho menor n¨²mero y con una particularidad: ya no eran fruto de env¨ªos masivos, sino que era phising [creaci¨®n de p¨¢ginas web similares a las reales del banco] dirigido en concreto a clientes con un alto nivel econ¨®mico¡±, destaca el inspector Cabo. De hecho, la operaci¨®n sigue abierta.

De la complejidad de la operaci¨®n da cuenta el elevado n¨²mero de polic¨ªas de varios pa¨ªses que han intervenido. Adem¨¢s de varias unidades en Espa?a y de agentes de la Polic¨ªa Federal de Brasil, ha participado Europol, la agencia policial de la UE cuyos expertos analizaron 53 muestras del troyano recuperadas, e Interpol, la organizaci¨®n que aglutina a polic¨ªas de 196 pa¨ªses y que se ha encargado de coordinar en el ¨²ltimo a?o y medio el operativo. La investigaci¨®n es dirigida judicialmente en Espa?a por la Audiencia Nacional y la Fiscal¨ªa de Criminalidad Inform¨¢tica.

Sigue toda la informaci¨®n de Econom¨ªa y Negocios en Facebook y X, o en nuestra newsletter semanal