La amenaza de los virus bancarios sigue evolucionando y el enemigo público número uno es Grandoreiro, un troyano bancario que opera bajo el modelo Malware-as-a-Service (MaaS), es decir, bajo un sistema de suscripción. 

Según un informe reciente de Kaspersky, entre enero y octubre de 2024, se bloquearon más de 150.000 infecciones relacionadas con este programa malicioso, afectando a más de 30.000 usuarios en todo el mundo. 

Los países más impactados son México, Brasil, España y Argentina, lo que subraya la necesidad urgente de medidas de seguridad robustas en la región.

Robo de cuentas bancarias: cómo funciona Grandoeiro

A este tipo de software se lo llama troyano porque, como el caballo de madera de la mitología griega, se esconde en un sistema y «despierta» en el momento en el que puede hacer mayor daño.  

«Todos los años se observan campañas de este malware dirigidas en parte a entidades bancarias y financieras,  ahora más en usuarios finales. El secreto de su éxito son los correos masivos que cambian constantemente, algo que complica a las soluciones de antimalware detectarlos», cuenta a iProUP Enrique Dutrá, especialista en seguridad informática.  

Grandoreiro, originario de Brasil, fue diseñado para robar credenciales de aproximadamente 1.700 instituciones financieras en 45 países, incluyendo Argentina, México y España.  

«A pesar de que no todos los bancos en la lista son atacados, el malware está preparado para actuar en caso de que encuentre un socio local que facilite el robo», subraya a iProUP Segundo Carranza, especialista en ciberdelitos.  

El enfoque que plantea el entrevistado es el que permitió a los ciberdelincuentes expandir sus operaciones y evadir la detección de las soluciones de seguridad.

«Buscan que el usuario baje y ejecute el archivo adjunto, luego este infecta la PC y el ciberdelincuente con operaciones de comando remotos toma control y puede desde pedirle dinero para devolver a la consola, como hacerse de credenciales de accesos en otras plataformas», relata Dutrá.  

El experto agrega que, con medidas de engaño, el usuario puede recibir SMS con algún tipo de código que en realidad son operaciones bancarias que realizan los delincuentes. 

Robo de cuentas bancarias: evolución de Grandoeiro

Los delincuentes detrás de este malware mejoraron sus técnicas para permanecer activos y debajo del radar de las autoridades. En 2023, el troyano lanzó ataques contra 900 bancos en 40 países, y en 2024, las versiones más recientes apuntaron a 1.700 bancos y 276 carteras de criptomonedas.  

Esta expansión geográfica y técnica convierte a Grandoreiro en una verdadera amenaza financiera global. «En las últimas versiones detectaron que tiene funcionalidades de Keylogger (graba lo que tipea el usuario), y detecta hasta el movimiento del mouse«, señala Dutrá. 

«A pesar de los esfuerzos de las autoridades, como Interpol y las agencias policiales de varios países, la lucha contra este malware sigue siendo muy difícil básicamente por su constante actualización. Te corren el arco todo el tiempo», grafica Carranza.  

Aunque se realizaron detenciones y se interrumpieron algunas operaciones, con varios procedimientos en Argentina, los grupos detrás de este malware continúan desarrollando nuevas versiones y estableciendo infraestructuras para perpetrar sus ataques. 

La situación es alarmante, especialmente en un contexto donde la banca en línea está en aumento. Kaspersky detaca que, aunque erradicar completamente una familia de malware es difícil, es posible impactar sus operaciones mediante la cooperación entre el sector privado y las agencias de seguridad.  

La empresa continúa trabajando con organismos internacionales para combatir la amenaza de Grandoreiro y proteger a los usuarios de banca en línea. Por su parte, Dutrá recomienda las siguientes acciones:

• Estar atentos a los correos y no bajar ningún tipo de software o adjunto que vengan en los mensajes. Eliminarlos
• No abrir archivos comprimidos ZIP o RAR
• No acceder a links que traiga el cuerpo del correo. Siempre escribir la dirección en el navegador
• El equipo debe contar con un antivirus, actualizado y con soporte
• El sistema operativo debe estar actualizado

«El objetivo de los delincuentes es el dinero, es decir, lograr el acceso a cuentas bancarias y transferirse a cuentas mulas el dinero de las víctimas», concluye Dutrá.