Robo a la Municipalidad: La pericia de cibercrimen determinó que fue un hackeo

La Fiscalía Nº 3 de Concepción del Uruguay, a cargo de Gabriela Seró, informó que recibió los resultados de la pericia realizada por los especialistas informáticos de la Policía de Entre Ríos. La Dirección de Inteligencia Criminal, a través de División Técnicas Especiales (Cibercrimen), produjo un informe pericial de 100 páginas donde se indicó que se logró determinar cómo fue la operatoria del robo informático.

A comienzos de abril, funcionarios municipales detectaron movimientos irregulares en las cuentas bancarias de la municipalidad, que motivaron el inmediato pedido de bloqueo al Banco Entre Ríos, una denuncia penal y el inicio de un sumario interno para esclarecer los hechos.

Una de las principales preocupaciones fue determinar si el hackeo y el robo habían sido producidos “desde adentro” o si los responsables eran personas externas. La pericia de Cibercrimen -la división especializada de la Policía entrerriana- no deja dudas al respecto: fue un hackeo y pudieron desentrañar con precisión cómo fue la mecánica con la que se le birlaron a la comunidad uruguayense más de 23 millones de pesos (eran 25 millones, pero una rápida reacción permitió frenar parte de las transferencias).

La pericia se efectuó sobre cuatro computadoras y un teléfono celular de la Tesorería. Las transferencias se hicieron el 3 de abril de este año. La investigación pudo establecer que tres días antes, el 31 de marzo de 2023, a las 7.30, se instaló un software malicioso que fue recibido en un correo electrónico dirigido a la municipalidad. Ese software se ejecutó al iniciar el equipo, imitando un driver de la familia “Intel” para evitar sospechas del personal municipal del área. Ese software se alojó en el usuario “Tesorería”.

Según la pericia, la intrusión se llevó a cabo en una de las computadoras, “mediante un ‘Malware’ de nombre ‘Grandoreiro’ de elevada mecánica informática, con capacidad técnica para burlar cortafuegos, antivirus y otros recursos de seguridad en sistemas operativos Windows”, según dice textualmente el informe pericial, según la publicación periodística del medio uruguayense.

“Malware” es un término que se usa para referirse a cualquier tipo de software malicioso (“malicious software”) diseñado para infiltrarse en un dispositivo sin conocimiento de su titular y causar daños en el sistema o robar datos. En particular el “Grandoreiro” es un malware conocido desde por lo menos 2020, y según los especialistas es un troyano bancario, que ya ha sido utilizado en Brasil, España, México y Perú.

El software permitió al intruso obtener y enviar información de la PC, manipulándola de manera remota desde un centro de comando y control externo, que la investigación no logró determinar.

Pero además, instalaron una serie de archivos XML, es decir que simulan páginas web. Esos documentos habían sido creados pocos días antes, el 20 de marzo de 2023, y fueron alojados en el sistema el 3 de abril, momentos antes de realizar las transferencias denunciadas.

Esos archivos contenían imágenes con referencias al Banco Entre Ríos: botones, fondos y distintos textos, todo ello para generar un portal falso. Simulando un portal del banco, solicitaron desde el centro de comando intruso, al funcionario municipal que realizara una serie de acciones destinadas a ratificar la operatoria por medio del portal web de Banco Entre Ríos. Es decir, simularon una actualización de seguridad de rutina y eso les permitió acceder a la información sobre usuarios, claves y coordenadas vinculadas al Home Banking de la municipalidad, que se encontraban en esa computadora.

El detalle de la pericia enumera las cuentas y sus titulares, así como los CBU, los celulares, las direcciones IP de los dispositivos desde los que fueron creadas e incluso las fechas de creación de las cuentas (una dirección IP es una dirección única que identifica a un dispositivo en Internet o en una red local). La mayoría de las cuentas habían sido creadas el 30 de marzo, un par eran del 2 de abril (día anterior a las transferencias) y hay otras dos que no habían sido identificadas.

Si bien se ordenaron los embargos preventivos de las cuentas a las que se giraron los fondos, no hay mucha esperanza de recuperar esos montos, porque en la mayoría de ellas, de inmediato, se volvieron a transferir los fondos a cuentas de criptomonedas. Las criptomonedas son medios digitales de intercambio que utilizan criptografía para asegurar las transacciones, controlar la creación de unidades adicionales y verificar la transferencia de activos.

Diez de las cuentas transfirieron a plataformas de criptomonedas, y tres a Mercado Pago. Las entidades receptoras de los fondos que operan con criptomonedas son Bitso, Lemon Bank y Brubank. Las tres son plataformas para comprar, vender y usar criptomonedas: Bitso es mexicana, mientras que Lemon y Brubank son argentinas. Además de las transferencias a cuentas de Mercado Pago, hubo otra a Banco Libertador, al cual el Banco de la Nación Argentina no lo tiene registrado como entidad financiera. En el BCRA el único Banco Libertador que aparece es una entidad financiera en liquidación.

De manera que hay todavía bastante para investigar. En principio se aspira a establecer si son cuentas realmente pertenecientes a quienes figuran como titulares o si se trata (como es lo más probable) de cuentas apócrifas, creadas para maniobras fraudulentas.

La Fiscalía de Seró dispuso otras acciones “en procura de recuperar los fondos mal habidos, individualizar a los autores y partícipes del hecho y determinar si se cumplieron con todas las medidas de seguridad emergentes de las resoluciones del BCRA”, es decir si el Banco Entre Ríos realiza los controles requeridos. Fuente El miércoles digital