Cuento del tío: cómo una banda accedía a cientos de homebanking y ejecutó la mayor estafa del país

Un argentino, identificado como Fernando Gastón Barbatelli (41), y dos ciudadanos chinos fueron detenidos bajo la sospecha de llevar a cabo una estafa relacionada con criptomonedas por u$s1,5 millones.

Pero no es el dato más curioso de esta historia: durante el registro de sus residencias, se descubrió que tenían en su poder billeteras con divisas digitales por un valor superior a los u$s100 millones, configurando el mayor caso de incautación de criptoactivos en el país.

La investigación, liderada por la Unidad Fiscal Especializada en la Investigación de Ciberdelitos de San Isidro, a cargo del Dr. Alejandro Musso, comenzó en febrero, focalizándose en desentrañar las actividades de una organización dedicada a perpetrar estafas mediante el uso de moneda digital.

La modalidad que usaban lleva por nombre investment scam. En esta variante, las víctimas son seducidas con la promesa de altos retornos en un corto período a cambio de una inversión inicial. Algo que termina con la pérdida total de los fondos invertidos.

La gran estafa cripto: cómo se descubrió

Durante el allanamiento realizado en Béccar, partido de San Isidro, se descubrió que detrás de la fachada de un supermercado chino operaba una granja clandestina dedicada al minado de criptomonedas. El operativo reveló la presencia de decenas de máquinas equipadas con placas de video, indispensables para la "fabricación" de divisas digitales.

Simultáneamente, se llevó a cabo un amplio operativo en el marco de investigaciones sobre malware y adquisición ilegal de criptomonedas. 

 

Se realizaron 64 allanamientos en provincia de Buenos Aires y varias regiones del país, estimándose un perjuicio económico cercano a los $1.500 millones.El operativo masivo demandó:

• 10 agentes fiscales de ocho departamentos judiciales de la provincia de Buenos Aires

• Seis investigaciones penales preparatorias

• Asistencia de seis especialistas del Departamento de Ciberdelitos

• 500 efectivos de la Policía Federal Argentina

Fuentes del operativo no dudan en señalar a iProUP que "se trata del golpe más contundente contra las actividades ilegales relacionadas con criptomonedas en Argentina".

"La información que nos compartieron a la hora de avanzar con el trabajo indica con exactitud que es una organización que combinaba diferentes scams con la minería ilegal. Eso sirve también para explicar el monto que se menciona", comenta a iProUP Enrique Dutra, especialista en ciberdelitos.

La punta del iceberg, que sirvió para activar las pesquisas, se originó en una serie de ataques de malware que infectaron los dispositivos de las víctimas. "Esto se tradujo en operaciones bancarias fraudulentas, que luego se transformaban en criptomonedas y eran transferidas al extranjero", amplía Dutra.

El operativo se llevó a cabo en colaboración con la División de Delitos Tecnológicos de Policía Federal Argentina, bajo la supervisión de la Superintendencia de Investigaciones, a cargo del Comisario Mayor Martín De Cristobal.

También participó la Oficina Central Nacional de INTERPOL y el Ministerio de Seguridad de la Nación. Se destaca, además, la cooperación brindada por los exchanges Binance y Lemon, quienes proporcionaron información de sus bases de datos. 

La banda realizaba minería ilegal y trading

La banda realizaba minería ilegal y trading

La gran estafa cripto: cómo operaba la banda

En cuanto al modus operandi de estas operaciones fraudulentas, se conoció que las víctimas, generalmente titulares de cuentas empresariales, recibían documentos o enlaces maliciosos. Generalmente, llegaban camuflados como comunicaciones empresariales habituales, como presupuestos o currículums vitae.

"Una vez que accedían a estos documentos, caían en una trampa silenciosa, ya que el malware se descargaba en partes en sus dispositivos, evadiendo así la detección por parte de los firewalls", detalla a iProUP Franco Pilnik, fiscal de cibercrimen.

"Una vez que el dispositivo está infectado, al acceder al sistema bancario en línea, la víctima se encuentra con una pantalla que solicita la validación de su contraseña, perdiendo el control de su dispositivo", agrega a iProUP Segundo Carranza, especialista en ciberdelitos.

Luego descubren que su cuenta fue vaciada a través de una o varias transferencias a terceros desconocidos, con el dinero resultante utilizado para adquirir criptomonedas.

La mayoría de los programas maliciosos identificados se asemejan a "Grandoreiro", un troyano brasileño de acceso remoto, diseñado con el propósito principal de tomar el control del dispositivo de la víctima y llevar a cabo transferencias de dinero a cuentas controladas por los ciberdelincuentes.

Una vez que el software malicioso se instala en el dispositivo de la víctima, el ciberdelincuente detrás del troyano supervisa la actividad del usuario y aprovecha el momento en que accede a su sistema bancario para mostrar una pantalla falsa de actualización del sistema.

La organización tenía más de u$s100 millones en criptomonedas

La organización tenía más de u$s100 millones en criptomonedas

"Es en ese momento que el ciberdelincuente toma el control del homebanking y realiza transferencias a cuentas intermediarias", amplía Pilnik.

Otro dato relevante para los expertos consultados por iProUP es el mercado persona a persona (P2P), que permite a los usuarios intercambiar criptomonedas entre sí.

"La colaboración de plataformas usadas para estos movimientos es clave. Muchos ciberdelincuentes creen que no hay rastro en estas transacciones y de ninguna manera es así. Es una información decisiva para dar con ellos", cierra Carranza.

En este caso, los ciberdelincuentes utilizaron directamente el dinero sustraído para comprar USDT a diversos operadores en nombre de las propias víctimas.