Efectivos policiales llevaron a cabo un mega operativo para desbaratar una red de malware y criptomonedas ilícitas denominada «THEMIS». Se realizaron 64 allanamientos simultáneos en todo el país, con un total de 20 detenciones en Argentina y otras 10 en el extranjero, principalmente de ciudadanos venezolanos y brasileños.
Uno de los principales involucrados, Francisco Javier Uribe Urdaneta, de nacionalidad venezolana, operaba desde Estados Unidos, y se está tramitando su extradición. La causa señala que hubo un perjuicio de $1.500 millones.
Las víctimas incluyen instituciones como el Círculo de Policía de la Provincia de Buenos Aires, el Laboratorio Farmacéutico de Quilmes, una empresa en Bahía Blanca y el Colegio Saint George de Quilmes.
Estas entidades sufrieron pérdidas millonarias, las cuales fueron convertidas posteriormente en criptomonedas, principalmente a través de la plataforma Binance, y transferidas a cuentas en el extranjero.
La investigación, liderada por el equipo de investigadores de criptoactivos de la Procuración Bonaerense, contó con la colaboración decisiva del Ministerio de Seguridad de la Nación, la Dirección Nacional de Información Científica, la Policía Federal Argentina y la Interpol.
La colaboración de los exchanges Binance y Lemon, que proporcionaron información crucial de sus bases de datos y expertos en fraude, fue fundamental para el éxito de la investigación.
Los allanamientos se llevaron a cabo en diversas provincias argentinas, incluyendo Buenos Aires, Misiones, Entre Ríos, Chaco, Santa Fe, Tucumán y Río Negro, además de la Ciudad Autónoma de Buenos Aires.
¿Cómo funcionan estas maniobras?
Las víctimas, generalmente personas con acceso a cuentas empresariales, reciben enlaces o documentos maliciosos que parecen información habitual para la empresa, como presupuestos o currículums. Al abrirlos, se infectan con malware, como el Troyano brasileño «Grandoreiro», diseñado para tomar el control remoto de la computadora.
Una vez infectada, al acceder a su homebanking, la víctima es redirigida a una pantalla falsa que solicita su contraseña, perdiendo el control de su PC. Al recuperarlo, descubre que su cuenta fue vaciada mediante transferencias a terceros desconocidos, que luego utilizan el dinero para comprar criptomonedas.
Los ciberdelincuentes aprovechan el momento en que la víctima está en su homebanking para tomar el control y realizar transferencias de dinero a cuentas bajo su control. Además, utilizan el mercado Peer to Peer (P2P) para intercambiar criptomonedas, directamente con el dinero sustraído, comprando USDT a diversos traders en nombre de la víctima
Este tipo de malware es difícil de detectar ya que se descarga lentamente y evita la detección de la mayoría de los firewalls.