Ciberdelincuencia

La Policía desmantela una red que infestaba los sistemas de la banca on line a nivel mundial

Utilizaban el troyano "Grandoreiro" y en España han sido detenidas 133 personas que habían obtenido un beneficio de cinco millones de euros

Agentes de la Policía Nacional, en una operación conjunta con la Policía Federal de Brasil e Interpol, han desarticulado una organización dedicada a la infección de equipos de clientes de banca online. Los miembros de eta red lanzaban ataques desde Brasil, con el troyano Grandoreiro, a diferentes países del mundo, con especial incidencia en España. En el marco de esta operación, se ha detenido a 133 personas en España -mulas que recibían el dinero-, y a los cinco cabecillas en Brasil. Se estima que los beneficios obtenidos por la organización criminal desde sus inicios superarían los cinco millones de euros solamente en España, pudiendo llegarse hasta los 120 millones a nivel mundial.

La operación se inició en el año 2020 en España relacionada con un malware de tipo troyano bancario Grandoreiro, que se caracterizaba por introducirse en los dispositivos informáticos y electrónicos de miles de usuarios de banca online, de países de habla hispana y portuguesa, con especial incidencia en Brasil, España, Portugal y México.

El método utilizado por los delincuentes para infectar a sus víctimas consistía en lanzar campañas de suplantación de entidades bancarias mediante el envío de correos electrónicos a usuarios de banca digital de varios países que, tras ser abiertos, instalaban el virus de forma indetectable por el destinatario. Una vez que el virus estaba instalado en los ordenadores, detectaba automáticamente los accesos a la banca online de los clientes, momento en que se comunicaba con los ciberdelincuentes, quienes cargaban en el ordenador de la víctima una imagen que suplantaba a su entidad bancaria con el pretexto de instalar un módulo de seguridad, así evitaban ser detectados en tiempo real.

De forma paralela, los ciberdelincuentes aprovechaban para interactuar en la sesión abierta de las víctimas, donde efectuaban transferencias bancarias y contratación de créditos de concesión inmediata. Con la excusa de estar actualizando el software de seguridad del banco, los ciberatacantes solicitaban a las víctimas las claves de verificación automática SMS de un solo uso, a través de la propia pantalla de suplantación que estaban viendo los usuarios estafados. Muchos de ellos, finalmente, acababan facilitando estas claves sin saber que estaban autorizando transferencias bancarias. Las víctimas se daban cuenta de con posterioridad de estas operaciones fraudulentas, por lo que no siempre podían bloquear las transferencias y recuperar los fondos.

Los cabecillas de la organización, ubicados en Sao Paulo (Brasil), eran los encargados de lanzar los ataques contra los clientes de las entidades bancarias españolas. Sin embargo, la parte de la organización que recibía el dinero de las transferencias fraudulentas se encontraba en España.

Las gestiones realizadas por agentes, en colaboración con las entidades bancarias, permitieron la detención de 133 personas que recibían el dinero procedente de las transferencias fraudulentas. Estas detenciones se produjeron a lo largo de dos años, desde el descubrimiento de la infección del malware bancario en 2020, hasta la caída de los cabecillas en Brasil en 2024.