Imagine que ingresa al sitio web de su banco y aparece una ventana emergente que le pide su usuario y un código de confirmación enviado a su correo electrónico. Estos filtros de seguridad cambian constantemente y cada vez son más molestos. La página tarda más de lo normal en cargar, pero finalmente accede.

Para sorpresa suya, el saldo de su cuenta está en cero.

Esa ventana adicional no fue añadida por su banco. Es un malware desarrollado por una red criminal brasileña llamada “Grandoreiro”. En el momento de iniciar sesión, Grandoreiro robó su usuario y contraseña. Incluso accedió al código de acceso que su banco envió por correo electrónico. Los integrantes de este grupo ingresaron a su cuenta, vaciaron sus fondos, los movieron a través de varias cuentas fachada, compraron criptomonedas y luego enviaron la mayor parte del dinero a un servidor en Brasil.

Esta es la historia de cómo Grandoreiro nació en el ciberespacio criminal en Brasil y se expandió por el mundo.

Emerge una nueva amenaza

Las primeras señales de Grandoreiro aparecieron en 2016, cuando una versión básica del malware, escrita en el obsoleto lenguaje de programación Delphi, comenzó a propagarse en Brasil. Los primeros ataques rompieron las reglas que tradicionalmente siguen otras organizaciones cibercriminales. Mientras que las bandas de ransomware, o secuestro de datos, de la antigua Unión Soviética evitaban atacar a sus propios países para no atraer la atención de las autoridades, Grandoreiro atacaba a bancos brasileños desde servidores ubicados en Brasil, dejando comentarios en el código fuente escritos en portugués. Toda la evidencia inicial apuntaba a que se trataba de programadores locales lanzando ataques en su propio territorio.

Para 2017, las autoridades ya estaban tras la pista de Grandoreiro cuando identificaron el malware como una amenaza en crecimiento. Pero a medida que los investigadores avanzaban, los desarrolladores del malware se adaptaron. El código fuente siguió evolucionando, con distintos actores criminales colaborando para mejorar los ataques. 

“Los desarrolladores evidentemente comparten muchos códigos entre los grupos”, explicó Golo Mühr, analista de malware de IBM X-Force, que investigó a Grandoreiro, en entrevista con InSight Crime. Aunque Grandoreiro se ha convertido en el malware bancario brasileño más conocido, existen otros con características similares, como Guildma, Javali y Melcoz, según la empresa de investigación en ciberamenazas Securelist

VEA TAMBIÉN: El auge de las drogas sintéticas, la cocaína en Europa y el cibercrimen: informes de la UE y EE. UU.

Los programadores siguieron mejorando el malware, haciéndolo más difícil de detectar por los antivirus, complicando su análisis técnico, cifrando el tráfico en línea de los atacantes y agregando nuevas funciones para sus usuarios criminales. Para 2020, el grupo amplió sus objetivos y comenzó a operar fuera de su país. Sus ataques se dirigieron primero a bancos en Argentina y Perú. Luego, Grandoreiro se expandió por América Latina, llegó a Europa y hoy sigue activo a nivel global.

Pishing, correos humanos y troyanos: un zoológico criminal

A medida que Grandoreiro se expandía, necesitaba nuevos reclutas para asumir roles especializados, mientras que el núcleo del grupo se quedaba con la mayor parte de las ganancias.

El esquema funciona así: en la cima están los desarrolladores, quienes ofrecen el malware como un servicio. Ellos escriben el código, lo mejoran, controlan los servidores y reclutan a otros para ejecutar las operaciones más riesgosas. “Es una forma de asegurarse de que, si una de ellas cae o es arrestada, las demás pueden seguir funcionando porque sus vínculos con la red son mínimos”, explicó Enrique Hernández González, subdirector de Operaciones contra el Cibercrimen de Interpol, a InSight Crime.

Los cabecillas —aún no identificados por las autoridades— reclutan líderes de célula, a menudo en otros países. Estos líderes organizan campañas de phishing y reclutan correos humanos de dinero. Las campañas de phishing consisten en correos falsos que imitan a autoridades legítimas, como la Administración Federal de Ingresos Públicos (AFIP) en Argentina, y generan un sentido de urgencia. Dentro del correo, hay un enlace a un sitio malicioso o un archivo adjunto que descarga un programa aparentemente inofensivo, pero con el malware de Grandoreiro oculto en su interior.

A phishing email pretending to be from Argentina's tax service hides a link to install malware called Grandoreiro.
Un correo electrónico fraudulento enviado aparentemente por el servicio tributario de Argentina contiene un enlace que, al hacer clic, instala el malware Grandoreiro.

Siguiendo la lógica del famoso caballo de Troya, esta táctica de esconder malware en otro programa se conoce como troyano. Una vez instalado, Grandoreiro permite a los atacantes tomar el control de la computadora de la víctima mediante un acceso remoto (Remote Access Trojan o RAT, en inglés). Un solo clic, y la máquina queda infectada.

“Cuando la víctima ejecuta el archivo —lo que puede suceder de distintas maneras—, el malware se activa en segundo plano y comienza a recopilar información sobre el sistema, el software de seguridad instalado y las aplicaciones bancarias”, explicó Mühr. Luego, Grandoreiro espera a que la víctima acceda a su banco virtual o use una aplicación financiera.

El malware opera de diversas formas: puede sobreponer una ventana falsa sobre la página real del banco, mostrar una ventana emergente que solicita credenciales o incluso robar los tokens de autenticación multifactor. Además, permite a los atacantes controlar el cursor, registrar las teclas presionadas, ver el contenido copiado y pegado e incluso activar la cámara web.

Una vez obtenidas las credenciales, los criminales pueden acceder a la cuenta desde otro dispositivo o directamente desde la computadora de la víctima, que ya controlan.

Screenshot of a Telemgram message in Portugues from a member of the Grandoriero criminal network trying to recruit money mules.
Anuncio en Telegram que ofrece entre US$ 200 A 500 diarios para trabajar como correos humanos.

Aquí entran en juego los correos humanos. Como las transferencias internacionales de grandes sumas suelen activar alertas, los líderes de célula reclutan personas locales en los países objetivo para usar sus cuentas bancarias. Estos correos humanos pueden ser conocidos de confianza o desconocidos captados a través de anuncios en Telegram.

El dinero robado circula entre varias cuentas, y sus titulares reciben una comisión por cada transacción. Aunque los correos humanos apenas intervienen en el proceso, cumplen un papel clave para dificultar el rastreo del dinero.

“Los correos humanos son fundamentales para la organización criminal”, señaló Hernández González. “Aunque parecen estar en el nivel más bajo, y muchas veces ni siquiera son profesionales —solo personas reclutadas con anuncios falsos para mover fondos—, sin ellas, el grupo no podría transferir el dinero robado”.

Para ocultar aún más las transacciones, la red compra y vende criptomonedas. Luego, el líder de célula toma su parte y envía el resto de los fondos —alrededor del 70%— a un servidor en Brasil. Todo el proceso, desde que se vacía una cuenta hasta que el dinero llega a Brasil, toma unos 20 minutos, según explicó a medios locales José María Cifuentes, fiscal de la Unidad Fiscal Especializada en Ciberdelincuencia de Argentina.

A pesar de los golpes, Grandoreiro y sus creadores siguen en pie

A medida que Grandoreiro empezó a infiltrar bancos en el escenario internacional, las autoridades globales comenzaron a actuar. Pero a pesar de varias detenciones en Brasil y Argentina, el malware sigue operando con fuerza.

En enero de 2024, autoridades brasileñas arrestaron a cinco presuntos integrantes de la red. Se les acusa de haber robado cerca de US$ 3,9 millones . Caixa Bank, uno de los principales objetivos del malware en España, estima que la red habría conseguido hasta 110 millones de euros si no hubiera sido detectada a tiempo.

En mayo del mismo año, autoridades argentinas desmantelaron una célula local, arrestando a 16 personas sospechosas de haber robado alrededor de US$ 1,6 millones. En enero y febrero de 2025, realizaron nuevas detenciones.

VEA TAMBIÉN: Secuestrar datos para pedir rescate es un negocio en auge en Brasil

Estos golpes solo han sido tropiezos para las operaciones internacionales de Grandoreiro. Los cabecillas siguen libres y el malware continúa evolucionando. Actualmente, se ha dividido en dos ramificaciones principales que operan de manera autónoma. Estas variantes se propagan de formas distintas y operan en regiones diferentes, lo que sugiere que ahora hay al menos dos grupos distintos detrás del malware, según Mühr.

Esta capacidad de adaptación no es exclusiva de Grandoreiro: desde sus inicios, los criminales digitales se han coordinado y organizado a través de foros digitales privados y mensajería encriptada. Estas células operan con un nivel de independencia elevado, lo que dificulta conocer el funcionamiento completo de la red, incluso si una célula es completamente infiltrada.

Y aunque estos hackers criminales siguen operando principalmente de forma paralela a las organizaciones de tráfico de drogas y otras redes criminales tradicionales, esos mundos están cada vez más conectados, advirtió Hernández González.

“Estamos viendo que hay cada vez más relación entre todo tipo de crimen y el cibercrimen, y esto se traduce en la aplicación de todas esas medidas de protección que, por la naturaleza del cibercrimen, han aplicado desde el principio”, concluyó.