Hay que recordar que a comienzos del mes de abril funcionarios municipales detectaron movimientos irregulares en las cuentas bancarias de la Municipalidad uruguayense, que motivaron el inmediato pedido de bloqueo al Banco de Entre Ríos, una denuncia penal y el inicio de un sumario interno para esclarecer los hechos.
Una de las principales preocupaciones fue determinar si el hackeo y el robo habían sido producidos “desde adentro” o si los responsables eran personas externas a la Municipalidad. La pericia de Cibercrimen -la división especializada de la Policía entrerriana- no deja dudas al respecto: fue un hackeo, y pudieron desentrañar con precisión cómo fue la mecánica con la que se le birlaron a la comunidad uruguayense más de 23 millones de pesos (eran 25 millones, pero la rápida reacción permitió frenar parte de las transferencias).
“Malware”
La pericia se efectuó sobre cuatro computadoras y un teléfono celular de la Tesorería de la Municipalidad local. Las transferencias se hicieron el 3 de abril de este año. La investigación pudo establecer que tres días antes, el 31 de marzo de 2023, a las 7.30, se instaló un software malicioso que fue recibido en un correo electrónico dirigido a la Municipalidad. Ese software se ejecutó al iniciar el equipo, imitando un driver de la familia “Intel” para evitar sospechas del personal municipal del área. Ese software se alojó en el usuario “Tesorería”.
Según la pericia, la intrusión se llevó a cabo en una de las computadoras, “mediante un ‘Malware’ de nombre ‘Grandoreiro’ de elevada mecánica informática, con capacidad técnica para burlar cortafuegos, antivirus y otros recursos de seguridad en sistemas operativos Windows”, según dice textualmente el informe pericial, según la publicación periodística del medio uruguayense.
“Malware” es un término que se usa para referirse a cualquier tipo de software malicioso (“malicious software”) diseñado para infiltrarse en un dispositivo sin conocimiento de su titular y causar daños en el sistema o robar datos. En particular el “Grandoreiro” es un malware conocido desde por lo menos 2020, y según los especialistas es un troyano bancario, que ya ha sido utilizado en Brasil, España, México y Perú.
Cómo actuaron
El software permitió al intruso obtener y enviar información de la PC, manipulándola de manera remota desde un centro de comando y control externo, que la investigación no logró determinar.
Pero además, instalaron una serie de archivos XML, es decir que simulan páginas web. Esos documentos habían sido creados pocos días antes, el 20 de marzo de 2023, y fueron alojados en el sistema el 3 de abril, momentos antes de realizar las transferencias denunciadas.
Esos archivos contenían imágenes con referencias al Banco de Entre Ríos: botones, fondos y distintos textos, todo ello para generar un portal falso. Simulando un portal del Banco, solicitaron desde el centro de comando intruso, al funcionario municipal que realizara una serie de acciones destinadas a ratificar la operatoria por medio del portal web de Banco de Entre Ríos. Es decir, simularon una actualización de seguridad de rutina y eso les permitió acceder a la información sobre usuarios, claves y coordenadas vinculadas al Home Banking de la Municipalidad, que se encontraban en esa computadora.
El detalle de la pericia enumera las cuentas y sus titulares, así como los CBU, los celulares, las direcciones IP de los dispositivos desde los que fueron creadas e incluso las fechas de creación de las cuentas (una dirección IP es una dirección única que identifica a un dispositivo en Internet o en una red local). La mayoría de las cuentas habían sido creadas el 30 de marzo, un par eran del 2 de abril (día anterior a las transferencias) y hay otras dos que no habían sido identificadas.
El Miércoles accedió al informe pericial que determina que los montos fueron retirados o transferidos en la mayoría de las cuentas, habiendo solamente dos cuentas sin retiros. Respecto del empleado de Tesorería cuyo celular se secuestró, la pericia establece sin duda alguna que no hay ningún elemento que lo vincule.
Dónde está el dinero
Si bien se ordenaron los embargos preventivos de las cuentas a las que se giraron los fondos, no hay mucha esperanza de recuperar esos montos, porque en la mayoría de ellas, de inmediato, se volvieron a transferir los fondos a cuentas de criptomonedas. Las criptomonedas son medios digitales de intercambio que utilizan criptografía para asegurar las transacciones, controlar la creación de unidades adicionales y verificar la transferencia de activos.
Diez de las cuentas transfirieron a plataformas de criptomonedas, y tres a Mercado Pago. Las entidades receptoras de los fondos que operan con criptomonedas son Bitso, Lemon Bank y Brubank. Las tres son plataformas para comprar, vender y usar criptomonedas: Bitso es mexicana, mientras que Lemon y Brubank son argentinas. Además de las transferencias a cuentas de Mercado Pago, hubo otra a Banco Libertador, al cual el Banco de la Nación Argentina no lo tiene registrado como entidad financiera. En el BCRA el único Banco Libertador que aparece es una entidad financiera en liquidación.
De manera que hay todavía bastante para investigar. En principio se aspira a establecer si son cuentas realmente pertenecientes a quienes figuran como titulares o si se trata (como es lo más probable) de cuentas apócrifas, creadas para maniobras fraudulentas.
La Fiscalía de Seró dispuso otras acciones “en procura de recuperar los fondos mal habidos, individualizar a los autores y partícipes del hecho y determinar si se cumplieron con todas las medidas de seguridad emergentes de las resoluciones del BCRA”, es decir si el Banco de Entre Ríos realiza los controles requeridos. Este último aspecto es muy relevante porque será lo que habilite la posibilidad de reclamarle que cubra los dineros robados a la comunidad uruguayense.