Un troyano brasileño y 133 ‘mulas’ en España para saquear miles de cuentas bancarias | Economía

La delincuencia no tiene fronteras y mucho menos cuando actúa a través de internet. Las policías española y brasileña, en colaboración con Interpol, han dado este viernes por prácticamente desmantelada la trama que se valió del virus troyano de origen brasileño Grandoreiro para saquear las cuentas bancarias de más de 3.000 personas en España y varios miles más en otros países de habla hispana y portuguesa, con especial incidencia en Brasil, Portugal y México, según ha informado este viernes el Ministerio del Interior.

La detención el pasado martes en São Paulo de los cinco cabecillas de la red delictiva ha sido el colofón de la Operación Ipanema que, desde finales de 2020, ha incluido el arresto, principalmente en Madrid, pero también en Sevilla, Barcelona o Valladolid, de otras 133 personas. Todas ellas están consideradas mulas, término utilizado en la jerga policial para denominar a personas que por una cantidad de dinero o por un porcentaje de entre el 10% y el 20% prestan su identidad para abrir cuentas bancarias donde se desvía el dinero defraudado. La operación aún busca a otra veintena de estas mulas así como al programador del programa informático malicioso, oculto en un tercer país.

La operación se inició en junio de 2020, cuando CaixaBank denunció ante el Grupo de Ciberataques de la Policía Nacional que numerosos clientes de la entidad estaban sufriendo un fraude bancario tras haber visto como sus equipos informáticos eran infectados por el troyano Grandoeiro. El contagio se producía al recibir falsos correos electrónicos del propio banco que les invitaban a pinchar en enlaces que provocaban la descarga del programa malicioso. El malware ―que ya se extendió de manera masiva durante el confinamiento provocado por la pandemia de covid-19― permanecía inactivo hasta que el usuario consultaba a través de internet sus cuentas de banca electrónica, momento en el que cargaba en el ordenador de la víctima una imagen que suplantaba la de su entidad bancaria (las conocidas como páginas espejo) y comenzaba a recopilar claves y credenciales.

Una vez se hacía con esta información, la trama realizaba transferencias de dinero a los depósitos abiertos a nombres de las mulas y, en algunos casos, solicitaban créditos inmediatos de hasta 30.000 euros. Para ello, con la excusa de estar actualizando el software de seguridad del banco, los ciberatacantes solicitaban a las víctimas, a través de la propia página web fraudulenta que habían instalado, las claves de verificación automática de un solo uso que recibían por mensajes SMS en sus teléfono móviles. Una vez llegaba el dinero a las cuentas abiertas por la trama, las mulas movían el dinero rápidamente de un depósito a otro ―muchas veces abiertos en terceros países como Bélgica, Francia, Portugal o Brasil― e, incluso, hacían extracciones en metálico para adquirir criptomonedas en un intento por dificultar el seguimiento de los fondos. Los clientes del banco solo se percataban de que habían sido víctimas cuando el dinero ya había salido de sus cuentas.

Las pesquisas de la policía revelaron que los fraudes no solo afectaban a CaixaBank, sino que también habían sufrido estafas similares clientes del Santander ―un concesionario de coches de Pamplona sufrió un fraude de 1,5 millones de euros―, BBVA o Banco Sabadell, entre otros. Fuentes cercanas a la investigación añaden que la trama había clonado en realidad las pantallas de las páginas webs de la práctica totalidad de las entidades financieras españolas. Hasta el momento, la Policía ha constatado un fraude consumado de cinco millones de euros solo en España, aunque también han encontrado indicios de que habían hecho intentos por otros 100 millones. A nivel mundial, los investigadores estiman que la trama consumó estafas por más de 120 millones de euros, pero que lo intentó por un valor de 1.000 millones.

La investigación en España comenzó a dar resultados tres meses después de la denuncia. En septiembre de 2020 fueron arrestadas las primeras mulas y en octubre del año siguiente eran más de un centenar los detenidos. “La operación ha contado con tres patas. La primera, la de las mulas, era la más sencilla. La segunda, la de los cabecillas de la trama, es la que hemos concluido ahora con los arrestos de Brasil. La tercera es la de persona que desarrolló el virus troyano y que lo alquila a grupos criminales como el que hemos desmantelado ahora. Ya está identificado, pero aún lo estamos buscando”, señala el inspector Juan María Cabo, jefe del Grupo de Ciberataques de la Policía Nacional.

El mando policial destaca que las estafas por Grandoreiro sufrieron en España un brusco frenazo en mayo de 2021, en plena investigación, después de que las entidades bancarias implementaran la directiva de la UE que obligaba a pedir una doble autentificación para realizar transferencias online. A partir de ese momento y hasta el verano del año siguiente, los intentos de fraude por este troyano prácticamente desaparecieron. “Volvimos a detectar casos en septiembre de 2022, aunque en mucho menor número y con una particularidad: ya no eran fruto de envíos masivos, sino que era phising [creación de páginas web similares a las reales del banco] dirigido en concreto a clientes con un alto nivel económico”, destaca el inspector Cabo. De hecho, la operación sigue abierta.

De la complejidad de la operación da cuenta el elevado número de policías de varios países que han intervenido. Además de varias unidades en España y de agentes de la Policía Federal de Brasil, ha participado Europol, la agencia policial de la UE cuyos expertos analizaron 53 muestras del troyano recuperadas, e Interpol, la organización que aglutina a policías de 196 países y que se ha encargado de coordinar en el último año y medio el operativo. La investigación es dirigida judicialmente en España por la Audiencia Nacional y la Fiscalía de Criminalidad Informática.

Sigue toda la información de Economía y Negocios en Facebook y X, o en nuestra newsletter semanal