El virus llega por correo electrónico. Parece un aviso de deudas impagas por multas de tránsito. El usuario no lo sabe, pero cuando baje el archivo adjunto en el mail, en la creencia de que es la boleta de pago, le entregará a un hacker el control de sus credenciales bancarias. Después, será cuestión de tiempo para que le roben el dinero de las cajas de ahorro y cuentas corrientes. En los últimos dos meses hubo, por lo menos, cuatro casos con el mismo modus operandi y los estafadores se hicieron de un botín de 61.000.000 de pesos.
Así lo informaron calificadas fuentes judiciales. En un principio se pensó que los hackers estaban detrás de páginas clonadas donde las víctimas, creyendo que ingresaban en el home banking del banco del cual son clientes, dejaban los datos de las credenciales bancarias, pero una incipiente investigación de la Unidad Fiscal Especializada en Investigaciones de Ciberdelito (Ufeic) de San Isidro, a cargo de Alejandro Musso, determinó que las estafas se originaron por medio de “un virus un del tipo troyano” conocido como Mekotio, “que se introduce a los sistemas informáticos por medio de un correo electrónico”.
La investigación de Musso se inició tras la denuncia hecha por los representantes de una reconocida concesionaria de venta de autos de alta gama que sufrió el robo de $1.000.000 de sus cuentas bancarias. No fue la única empresa víctima de este tipo de estafas. Pronto se detectaron otros tres casos de compañías afectadas por el virus troyano Mekotio, en los que se robaron 33.000.000, 12.000.000 y 15.000.000 de pesos.
“El vaciamiento de cuentas bancarias por suplantación de identidad mutó en cuanto a las víctimas elegidas. Antes, los hackers buscaban cuentas personales. Ahora, los estafadores se enfocaron en las cuentas bancarias de empresas donde saben que hay depositada una mayor cantidad de dinero”, explicó un detective judicial dedicado a la investigación de ciberestafas.
El fiscal Musso y su equipo de colaboradores detectaron que detrás de las estafas había un virus troyano después de haber descartado que los hackers hayan hecho la suplantación de identidad por medio de una página web clonada.
“En este caso, en particular, se logró encontrar evidencia vinculante a un malware utilizado por el grupo Mekotio, siendo este un troyano diseñado para sustraer credenciales bancarias. El virus, frecuentemente, es distribuido por medio correos electrónicos fraudulentos”, se sostuvo en un informe hecho por el Laboratorio Forense de la Ufeic incorporado al expediente judicial.
Parte del peritaje incorporado al expediente judicial
En su perfil de LinkedIn, el fiscal Musso hizo una publicación titulada “Alerta, troyano bancario activo”, donde explicó: “Luego de recibir reportes de diversos y sustanciosos ataques a cuentas bancarias empresariales, la Ufeic detectó en una investigación en curso (luego replicada en otras) lo que sería una nueva campaña dirigida del troyano Mekotio, un malware modular dirigido a obtener credenciales bancarias. El vector para su instalación es un mail, en los casos detectados, vinculado a multas de tránsito. Ampliaremos”.
El modus operandi del virus troyano Mekotio, explicaron los especialistas, no se había detectado en la Argentina, sí en Brasil, Chile y México
“Se dice que el virus fue creado por bandas de ciberatacantes de origen brasileño. El mail con la trampa llega con un asunto urgente, lo que genera en la persona que lo recibe la necesidad de abrirlo y descargar el archivo adjunto. Sin darse cuenta, de este modo, introduce en su sistema un programa que rastrea los usuarios y contraseñas bancarias entregándoselos a los hackers. Luego, comienza la segunda fase que implica el vaciamiento de las cuentas sin que la víctima puede hacer nada. Lo grave de esta variante de ciberataque es que las entidades financieras y bancarias, en principio, no responden a los reclamos dado que argumentan que resulta responsabilidad de quién permitió el acceso del virus a sus computadoras, generando entonces un grave perjuicio económico”, explicaron fuentes judiciales.
Desde la Ufeic informaron que la medida más efectiva para evitar caer en esta modalidad de estafa es “dudar de todo correo electrónico no esperado” y “nunca, bajo ningún concepto, abrir ningún archivo adjunto”. Y agregaron: “En su defecto, se aconseja tomar nota del contenido del mail sospechoso y chequear en las páginas oficiales relacionadas con el contenido recibido”.
