La Unidad Fiscal de Investigación y Juicio Especializada en Cibercrimen (UFI) a cargo del doctor Matías Ocariz, informó que se denuncian 14 casos por día de ataques tipo phishing y alrededor de tres por semana de troyanos bancarios ante el Ministerio Público de la Acusación (MPA). Los montos robados por los cibercriminales oscilan entre los cuatro y los 150 millones.
La fiscalía afirma que el aumento de estos casos dentro de su circunscripción, es proporcional a los ciberdelitos relevados por la justicia federal en el país, pero lo que preocupa a los investigadores es “el aumento exponencial del volumen de dinero”. Una de las razones que entienden lo explica es la digitalización creciente de las transacciones financieras y la adopción de criptomonedas como activos para el resguardo de valor o pago de bienes y servicios.
Los cibercriminales se aprovechan de este tipo de soportes de la economía digital para llevar a cabo sus fraudes y mover el dinero sustraído, detalló el fiscal Ocariz. En la etapa de movimiento de los activos robados, es donde trabaja el equipo de fiscalía dedicado a la persecución de delitos informáticos para dar con los responsables y recuperar la totalidad, o una parte, del botín.
Uno de los casos que se encuentra en etapa de investigación es el de una reconocida tienda online de Rosario que el 24 de octubre denunció ante la fiscalía de Ocariz el robo de $28,9 millones de pesos a través de un ataque phishing. Los ciberdelincuentes comenzaron a mover el dinero robado un viernes y la detección temprana permitió la intervención de la fiscalía. Los investigadores identificaron varias cuentas por las que luego se transformó en criptomonedas a los pesos, las que fueron bloqueadas por orden judicial a pedido de la fiscalía. "El problema es que el dinero está entre dos a tres minutos en cada cuenta, por lo que aún actuando rápido la víctima, cuando llega a hacer la denuncia, el dinero ya se convirtió en cripto", explicaron desde la fiscalía.
El equipo de la UFI especializada en cibercrimen, contó a Rosario3 que el pase de pesos a criptoactivos dificulta la persecución de estos delitos y en ciertos casos “los vuelve internacionales”. Más allá del método que utilicen los delincuentes –sea troyano bancario, phishing, suplantación de identidad, clonación de chip telefónico, etc.– el hecho de poder acceder con facilidad a los exchanges cripto –el equivalente digital a una casa de cambio para simplificar el ejemplo– y realizar transacciones entre individuos sin mayores dificultades ni controles rigurosos, permite sacar el dinero del sistema bancario regulado sin necesidad de tocar el dinero físico.
Para poder operar en estos exchanges de monedas digitales (bitcoin, ethereum, etc.) los delincuentes esconden su identidad a través del uso de, por ejemplo, CUIT robados a personas insolventes o sin posibilidad de justificar ingresos para transacciones de alto monto. El fiscal Matías Ocariz detalló que “muchas veces son personas que desconocen que sus datos personales, su identidad, está siendo utilizada para este tipo de maniobras delictivas”.
Esa información para cometer fraudes en el ciberespacio se comercializa en la Deep Web como bases de datos que, dependiendo del caso, recopilan: nombre y apellido de personas, sus DNI, CUIT, mails, teléfonos, usuarios y passwords. Data que previamente fue robada en ataques digitales a empresas, comercios, instituciones del Estado, fuerzas de seguridad y universidades, entre otros.
Si la justicia comprueba que el prestanombre no es parte de la maniobra fraudulenta, pone la atención en el vendedor del criptoactivo: el trader. El equipo de fiscalía explicó a Rosario3 que estos operadores P2P –quienes compran y venden cripto activos entre privados dentro de un exchange– deben seguir las recomendaciones antilavado de los reguladores argentinos e internacionales, y controlar si los CUIT con los que comercian son de personas con perfil patrimonial que les permita realizar este tipo de operaciones, sean o no de alto monto.
La ruta del dinero es el camino de migas de pan que, como en la fábula de Hänsel y Gretel, utilizan los investigadores de la justicia rosarina para reconstruir la operación delictiva, tipificar el delito en cuestión y efectuar las diligencias judiciales. Cuando los investigadores de la UFI recaban pruebas de que el trader incumplió las normas antilavado se le genera responsabilidad penal: "Ya sea por encubrimiento o lavado de activos, y se lo puede imputar", detallaron. Esto permite comenzar el proceso de recuperación del dinero –o una parte– que se operó y le pertenecen a la víctima del fraude digital, comentó el fiscal Matías Ocariz.
Juan Pablo Diaz Kindsvater, integrante de la UFI de cibercrimen, contó que una de las dificultades que enfrenta la justicia es el traspaso del dinero en cripto a “billeteras frías”. Estos software de almacenamiento funcionan dentro de pendrives que se conectan y se desconectan de la blockchain, pero tal como explicó Diaz Kindsvater: “No son imposibles de rastrear”.
En cuanto a los robos digitales con troyanos bancarios, los ataques de infiltración se realizan con la misma técnica que los de phishing. La víctima recibe un mail desde un ente estatal ficticio (Afip, Anses, Policía Federal, etc.) que, a través de un engaño, le solicita que descargue un archivo adjunto (puede ser de texto o cualquier otra extensión) y cuando lo hace, se instala un malware que en su interior tiene réplicas de todos los homebanking (HB) y sitios bancarios de Argentina.
La UFI a cargo del fiscal Ocariz identificó tres tipos que operan en la circunscripción que abarca Rosario: Grandoreiro, Mekotio, Ave María. Cada uno se corresponde a un grupo criminal o nacionalidad, según el miembro de la UFI.
La mecánica en estos casos es la siguiente: una vez instalado, el troyano se mantiene inactivo hasta el momento en que el usuario intenta entrar a su HB o desde que prende su computadora o dispositivo y se conecta a internet. En ese momento, él o los delincuentes, recibe una alerta y se despliega un sitio idéntico frente a la víctima que no puede detectar. Cuando el atacado introduce su usuario y contraseña, ambas llaves son registradas por los cibercriminales. En simultáneo, con esa información, ingresan desde un navegador oculto en el dispositivo atacado al HB, y se loguean como si fueran la víctima.
Ya dentro de la cuenta bancaria comienza la sustracción de dinero vía transferencias, pero para lograr consumar el robo, precisan que el afectado les haga llegar el token de cada transacción. Este código de caracteres suele llegar al teléfono u obtenerse por medio de una app, dura 60 segundos y se resetea. Durante ese lapso de tiempo el troyano despliega un aviso en el que se le pide a la víctima informe el token que obtuvo. Para eso utiliza distintos tipos de alerta, la más habitual, según Diaz Kindsvater, son mensajes que exigen el código para comprobar cuestiones de seguridad desde el banco.
Desde la UFI explicaron que este tipo de fraudes con troyanos es complejo de detectar para las entidades financieras. La razón principal es que se realizan desde el dispositivo de la víctima que está validado por el banco.