Agentes de la Policía Nacional, en una operación conjunta con la Policía Federal de Brasil e Interpol, han desarticulado una organización dedicada a la infección de equipos de clientes de banca online. Los miembros de eta red lanzaban ataques desde Brasil, con el troyano Grandoreiro, a diferentes países del mundo, con especial incidencia en España, y más en concreto en la Comunidad de Madrid.
En el marco de esta operación, liderada por Brasil, se ha detenido a 133 personas en España -mulas que recibían el dinero-, y a los cinco cabecillas en Brasil. Se estima que los beneficios obtenidos por la organización criminal desde sus inicios superarían los cinco millones de euros solamente en España, pudiendo llegarse hasta los 120 millones a nivel mundial.
La operación se inició en el año 2020 en España relacionada con un malware de tipo troyano bancario Grandoreiro, que se caracterizaba por introducirse en los dispositivos informáticos y electrónicos de miles de usuarios de banca online, de países de habla hispana y portuguesa, con especial incidencia en Brasil, España, Portugal y México.
Campañas de envío de correos suplantando a entidades bancarias
El método utilizado por los delincuentes para infectar a sus víctimas consistía en lanzar campañas de suplantación de entidades bancarias mediante el envío de correos electrónicos a usuarios de banca digital de varios países que, tras ser abiertos, instalaban el virus de forma indetectable por el destinatario.
Una vez que el virus estaba instalado en los ordenadores, detectaba automáticamente los accesos a la banca online de los clientes, momento en que se comunicaba con los ciberdelincuentes, quienes cargaban en el ordenador de la víctima una imagen que suplantaba a su entidad bancaria con el pretexto de instalar un módulo de seguridad, así evitaban ser detectados en tiempo real.
De forma paralela, los ciberdelincuentes aprovechaban para interactuar en la sesión abierta de las víctimas, donde efectuaban transferencias bancarias y contratación de créditos de concesión inmediata. Con la excusa de estar actualizando el software de seguridad del banco, los ciberatacantes solicitaban a las víctimas las claves de verificación automática SMS de un solo uso, a través de la propia pantalla de suplantación que estaban viendo los usuarios estafados.
Muchos de ellos, finalmente, acababan facilitando estas claves sin saber que estaban autorizando transferencias bancarias. Las víctimas se daban cuenta de con posterioridad de estas operaciones fraudulentas, por lo que no siempre podían bloquear las transferencias y recuperar los fondos. Los cabecillas de la organización, ubicados en Sao Paulo (Brasil), eran los encargados de lanzar los ataques contra los clientes de las entidades bancarias españolas. Sin embargo, la parte de la organización que recibía el dinero de las transferencias fraudulentas se encontraba en España.
Dada la complejidad de la investigación y su faceta internacional, se estableció un canal de comunicación directo entre las Unidades de Ciberdelincuencia de la Policía Federal de Brasil y Policía Nacional, bajo la coordinación de Interpol y con la colaboración de Europol, para llevar a cabo la operación.
133 detenidos en España
Las gestiones realizadas por agentes, en colaboración con las entidades bancarias, permitieron la detención de 133 personas que recibían el dinero procedente de las transferencias fraudulentas. Estas detenciones se produjeron a lo largo de dos años, desde el descubrimiento de la infección del malware bancario en 2020, hasta la caída de los cabecillas en Brasil en 2024.
Con esta operación se da un duro golpe a la organización criminal responsable de la distribución de uno de los principales virus bancarios que actuaba a nivel mundial con especial afección en Brasil, México, Portugal y España. Del resultado de la operación y del análisis de los dispositivos electrónicos se espera obtener más información referente a los ataques informáticos de clientes españoles.
Esta operación policial se une a las otras importantes y relevantes en las que Policía Nacional ha participado durante el 2023, con la desarticulación de infraestructuras de importantes organizaciones como Hive, Blackcat o el desmantelamiento de uno de los mercados clandestinos más importantes de venta de credenciales de acceso sustraídas a nivel mundial GenesisMarket.
Recomendaciones de la Policía Nacional para evitar ser víctima de estos ataques:
- No abrir correos de personas desconocidas.
- No hacer “click” en enlaces de correos desconocidos.
- Mantener actualizado el software y especialmente sistema operativo.
- Abstenerse de facilitar contraseñas y datos bancarios vía telefónica o través de enlaces recibidos en SMS.
- Utilizar software original.