Una investigación conjunta entre las fiscalías especializadas en ciberdelitos de San Isidro y Azul permitió desarticular una organización criminal transnacional que habría robado más de 600 millones de pesos a diversas PyMEs argentinas, utilizando un sofisticado esquema de ciberataques, mulas financieras y lavado de activos a través de criptomonedas.

Los hechos comenzaron a investigarse en mayo de 2024, tras la denuncia de un frigorífico cuyo sistema administrativo fue comprometido por el malware “Mekotio”. De acuerdo a lo que surgió de la investigación, el ataque se produjo mediante un correo electrónico con un enlace malicioso, que permitió instalar el virus en segundo plano. Desde allí, el programa espió las operaciones financieras de la empresa, recopilando datos sensibles como montos, cuentas y claves bancarias y en cuestión de minutos, los fondos fueron transferidos a una red de cuentas mula. La misma modalidad se repitió con al menos tres empresas más.

El dinero sustraído era movido a través de cuentas en bancos públicos y privados, y luego derivado a distintas billeteras virtuales antes de ser transformado en criptomonedas a través de la red Tron. Posteriormente, los fondos eran centralizados y distribuidos entre los miembros de la red, algunos incluso radicados en el exterior.

Según se determinó, el grupo operaba como una estructura descentralizada que articulaba células criminales de distintos países. Entre los implicados se identificó a un hacker brasileño, un operador financiero ruso a cargo de una “cueva” en Belgrano, y diversas mulas argentinas, peruanas y venezolanas.

La pista que permitió avanzar en la causa surgió del seguimiento de un teléfono vinculado a una cuenta receptora. Un cambio de chip en ese dispositivo permitió a los investigadores enlazar la identidad del usuario con la operatoria delictiva y a partir de allí, se reconstruyó el entramado de transferencias y se ordenaron 16 allanamientos simultáneos en domicilios de CABA y el conurbano bonaerense. Al menos cinco personas resultaron detenidas y otras cuatro permanecen prófugas.

Uno de los procedimientos más complejos se realizó en la cueva ubicada en Sucre y Moldes, presuntamente administrada por un ciudadano ruso, experto en criptoactivos. El operativo incluyó una orden para lograr el desbloqueo compulsivo del teléfono del sospechoso, que intentó destruir el dispositivo al momento de la detención. Tras ser reducido por cinco agentes, fue obligado a colocar su huella dactilar, lo que permitió acceder a la información del aparato. El hombre fue detenido por resistencia a la autoridad e intento de destrucción de evidencia.

En el marco del operativo, se incautaron cerca de 100 mil dólares y otros 150 mil en la criptomoneda USDT, que fueron transferidos a una billetera digital bajo control judicial y de acuerdo a las estimaciones realizadas la cifra total recuperada podría incrementarse con el avance de las pericias.

De acuerdo a la reconstrucción efectuada por la investigación, las PyMEs habrían sido blanco de los ataques por tener altos volúmenes de facturación, pero baja protección en ciberseguridad, lo que las convertía en objetivos “rentables y vulnerables”. Los ataques no eran al azar, sino planificados para engañar a empleados específicos mediante correos electrónicos dirigidos.