El miércoles 8 de mayo del corriente año 2024, se realizó un mega operativo en el marco de investigaciones de malware y adquisición de criptoactivos ilegales, con 64 allanamientos simultáneos en todo el país, incluyendo la provincia de Río Negro. La banda habría ocasionado un perjuicio económico de alrededor de $1.500.000.000. 

Megaoperativo en el Alto Valle: secuestran armas, droga, dinero y detienen a cuatro personas

Catalogada como “Operación Themis”, la red de cibercriminales tuvo su origen en ataques de malware que infectaron las computadoras de las víctimas, provocando operaciones bancarias fraudulentas, dinero que posteriormente fue transformado en criptomonedas y girado al exterior.

En la Argentina los allanamientos ordenados se concretaron en las provincias de Buenos Aires, Misiones, Entre Ríos, Chaco, Santa Fe, Tucumán, Río Negro y la Ciudad Autónoma de Buenos Aires.

En el procedimiento permitió la incautación de criptoactivos (aproximadamente USD 170.000 dólares en criptomonedas), generándose billeteras descentralizadas, bajo el control de los Agentes Fiscales intervinientes.

Además, se logró el secuestro de dinero en efectivo, $ 1.000.000 (pesos), USD 300, 30 computadoras, 100 teléfonos celulares, tarjetas de memoria, pendrives, tarjetas SIM, consolas de videojuegos, tarjetas de crédito, armas de fuego y droga. Habiéndose identificado 70 personas, de las cuales 16 resultaron detenidas en el territorio argentino, y se emitieron 9 detenciones internacionales con Alerta Roja INTERPOL para ciudadanos residentes en Brasil, Venezuela, Ecuador, México, Colombia y EE. UU.

Modus Operandi

La víctima, que posee el manejo de una “cuenta empresa”, por ser la dueña de la empresa o tesorero o apoderado recibe un link malicioso, disfrazados de información habitual para la empresa como un presupuesto o curriculum vitae, al ingresar en ellos cae en una trampa silenciosa sin darse cuenta, ya que descargan lentamente partes de la computadora, circunstancia que impide detectarlos.

Una vez infectada la PC, cuando la propia víctima ingresa a su homebaking, aparece una pantalla requiriendo validación de contraseña y pierde el control de su computadora. Cuando la víctima recobra el control, se entera de que su cuenta fue vaciada mediante una o varias transferencias a terceros desconocidos, dinero que luego es utilizado para comprar criptomonedas.

La mayoría de los malware detectados, se asimilan a un Troyano Brasilero llamado “Grandoreiro”, que resulta ser un RAT (Troyano de Acceso Remoto), diseñado con el objetivo principal de tomar el control del equipo víctima y hacer transferencias de dinero a cuentas manejadas por los ciberdelincuentes.

Una vez instalado el software malicioso en el equipo de la víctima, el ciberdelincuente operador del RAT supervisa la actividad del usuario y aprovecha el momento en el cual navega en su homebanking para mostrarle una imagen que simula estar actualizando el equipo. Detrás de esta imagen, el operador toma el control del homebanking y realiza el proceso de transferencia de dinero a cuentas mulas.

Otros de los datos característicos relevantes fue la implicancia del mercado Peer to Peer - P2P (que permite a los usuarios intercambiar criptoactivos entre sí), los ciberdelincuentes utilizaron directamente el dinero sustraído, para comprar USDT a diversos traders en nombre de la propia víctima.