Una cueva rusa, un hacker brasileño y un virus por mail: cayó una red que robó 600 millones de pesos a pymes y los convirtió en criptomonedas

Martes 06 de Mayo de 2025, 14:28

En un megaoperativo en simultáneo, policía de Ciudad y Provincia de Buenos Aires lograron desarmar una operación criminal acusada de diversos ataques a pequeñas y medianas empresas argentinas, utilizando un virus troyano y un complejo sistema de mulas y movimientos en criptoactivos con el que lograron robarse más de 600 millones de pesos en poco menos de un año.

Se trataba de un ensamble de distintas bandas, cada una de ellas operando de manera "freelance" para ofrecer sus servicios. Incluían entre sus miembros a un hacker brasileño, una cueva financiera manejada por un ruso, y distintas mulas argentinas, peruanas y venezolanas. Hay cuatro detenidos.

La investigación fue llevada adelante por la DDI especializada en cibercrimen de San Isidro, encabezada por el fiscal Alejandro Musso, en colaboración con la fiscalía de cibercrimen de Azul, de Lucas Moyano. Comenzó a mediados de mayo de 2024, con la denuncia de un frigorífico cuyo sistema administrativo fue infectado con un malware conocido como "Mekotio". El ataque llegó por correo electrónico, con un link que traía escondido el archivo que se descargó en la PC.


La banda, acusada de robar más de 600 millones de pesos con un virus de PC, estaba formada por distintos actores que operaban de manera freelance

Al instalarse, el programa quedó escondido en un segundo plano, monitoreando la actividad financiera que se desarrollaba, tomando montos, cuentas bancarias y claves. En el momento del ataque, la jugada fue certera. En apenas unos minutos se dispararon una serie de transferencias que vaciaron la cuenta bancaria de la empresa.

El modus operandi se repitió con al menos tres empresas más, que sufrieron ataques en el mismo lapso. Las transferencias se realizaban a nueve cuentas mula de titulares de cuentas en bancos privados o públicos. De esas cuentas se hacían transferencias a diversas billeteras virtuales como escala antes de pasar el dinero a criptoactivos a través de la red Tron. Luego comenzaba a moverse hasta centralizar en distintas cuentas, algunas en el exterior, antes de repartirse entre los miembros de la organización.

Según explicaron a Clarín fuentes judiciales, la organización de estos ataques se hacía a partir del ensamble de distintos actores criminales. Lejos de una banda gigante, las tareas se reparten y se subcontratan. El virus, por ejemplo, se generó en Brasil pero requirió de un grupo de actores argentinos que ofrezcan el servicio de mulas para mover el dinero desde las cuentas de la empresa atacada a una billetera cripto sin levantar suficientes sospechas.


Uno de los celulares en el que se incautaron 25 mil dólares en criptoactivos.

La investigación, que llevó más de seis meses de entrecruzamiento de datos, arrojó algunas pistas a partir de una serie de errores de manejo en una de las puntas, que hizo un cambio de chip SIM en uno de los celulares con los que se movía y ayudó a pegarlo a la cuenta receptora de los pagos.

A partir de allí se pudo trazar la compleja maraña de transferencias bancarias y cripto que pegaron al ensamble con al menos tres ataques a PyMEs argentinas. "Eligen este tipo de empresas porque tienen facturaciones considerables, pero son lo suficientemente chicas como para no tener una estructura de ciberseguridad que permita repeler un ataque de este tipo", señaló una fuente.

No se tratan de ataques ’al voleo’. En estos casos se estudia puntualmente cómo tratar de hacer que pisen el palito y entren en los links infectados los empleados clave de estas empresas que son atacadas.

A partir de la reconstrucción del esquema, la fiscalía ordenó un total de 18 allanamientos simultáneos este martes, seis en Provincia de Buenos Aires y diez en CABA, en el que fueron detenidas en total unas cinco personas, mientras que otras cuatro permanecen prófugas.

Uno de los allanamientos más complejos fue en una cueva llamada ’Dolar Belgrano, ubicada en Sucre y Moldes, que era operada por un ciudadano ruso y que tenía por lema "no preguntar" de dónde venían los fondos. Según la teoría de los investigadores, sería la encargada de lavar los activos.

No fue un operativo sencillo: los oficiales tenían la orden de lograr que el acusado, un ruso cuarentón, experto en cripto, que medía 1,90 y pesaba 140 kg, entregue su celular desbloqueado por las buenas o las malas. Los oficiales tenían una orden que permitía avanzar con una extracción compulsiva, y forzarlo a que ingrese su huella dactilar en el aparato.

El ’Oso Ruso’ se negó, primero cerrando sus puños y luego tratando de destruir su teléfono, un Xiaomi Pro 14 que pudo ser rescatado por los agentes. Finalmente, entre cinco oficiales de la Policía de la Ciudad lograron reducirlo y forzarlo a poner la huella dactilar en el teléfono, que quedó abierto y disponible para los oficiales. El ’Oso’ quedó detenido por resistencia a la autoridad e intento de destrucción de evidencia.

Uno de los objetivos fue el secuestro de criptoactivos de las billeteras virtuales de los miembros de la organización. Allí lograron incautar unos 140 mil dólares en la cripto USDT, transferidos a una billetera bajo control judicial. Se cree que esa cifra podría crecer considerablemente. /Clarín

---

---