Mekotio: el troyano bancario que secuestró correos para estafar a PyMEs argentinas

Sobre de email con forma de factura y un anzuelo rojo desviando una transferencia bancaria hacia una cuenta oculta — troyano bancario Mekotio
0 0 votos
Valora la Publicación

El troyano bancario Mekotio secuestró correos administrativos de empresas argentinas para redirigir transferencias y provocó un fraude corporativo de más de 600 millones de pesos. El esquema afectó a alrededor de 40 empresas del país y apunta específicamente a las áreas de contaduría y cuentas a pagar de compañías con actividad financiera intensa. El primer caso conocido fue el de un frigorífico argentino en 2024; entre los más resonantes, una fábrica de envases plásticos de Beccar reportó en abril de 2025 nueve transferencias por 42.650.000 pesos desde una cuenta del Banco Provincia.

Cómo funciona el ataque

Mekotio entra por la puerta del correo. La víctima recibe un mail que simula una factura impaga o la comunicación de una empresa de servicios: algo que «debe parecer un trámite reconocible que no conviene demorar». Una vez instalado, el malware monitorea la actividad financiera, roba credenciales y ejecuta transferencias hacia cuentas mula. Para robar datos bancarios despliega formularios falsos que imitan sitios de bancos y una pantalla superpuesta de «actualización» durante el homebanking; también secuestra el portapapeles para reemplazar direcciones de billeteras cripto. Para instalarse, abusa de herramientas legítimas de administración remota como PDQ Connect, ScreenConnect y Atera Agent.

Qué es Mekotio, técnicamente

No es nuevo: es una familia de troyanos bancarios latinoamericanos activa desde alrededor de 2015, escrita en Delphi y distribuida principalmente por spam y phishing con correos de «factura» que descargan un archivo comprimido. Roba credenciales mediante ventanas emergentes falsas, hace keylogging y sustrae bitcoin cambiando la billetera en el portapapeles. Sus países objetivo históricos son Brasil, Chile, México, España, Perú y Portugal, pero el foco local es marcado: en 2023, Argentina concentró cerca del 52% de las detecciones regionales de la familia. Sus «hermanas» son viejas conocidas del panorama LATAM: Grandoreiro, Mispadu, Guildma y Cosmic Banker.

La respuesta: Operación Tenevoy

La investigación derivó en la Operación Tenevoy, con 17 allanamientos y cinco detenidos. El líder de la banda fue identificado como Iván Materov, ruso de 42 años apodado «el Oso Ruso». El dinero se convertía a través de una cueva cripto y el flujo de fondos apuntaba hacia Brasil. El caso ilustra una cadena completa de Business Email Compromise (BEC) montada sobre infraestructura de correo corporativo, con impacto financiero concreto sobre PyMEs argentinas.

Qué puede hacer una PyME para no ser la próxima

El «no abrir adjuntos sospechosos» ya no alcanza. Las medidas que mueven la aguja son concretas: MFA obligatorio en el homebanking y en el correo; verificación fuera de banda de todo cambio de CBU o cuenta destino antes de aprobar una transferencia, con doble control; auditar quién instala herramientas de administración remota en los equipos; y sumar detección de anomalías —operaciones inusuales por monto, horario o destino— más allá de la protección perimetral. Sobre todo, involucrar a administración, finanzas, legales y al banco en el circuito de aprobación, porque el eslabón que rompe Mekotio no es técnico: es el proceso de pago. ¿En tu empresa hay doble control para cambiar una cuenta destino? Te leemos en los comentarios.

Fuentes

Escrito por

Pablo Ariel Di Loreto

Profesor. Informático. Fanático del helado de dulce de leche. Director de Ingeniería en MODO, y Secretario del Microsoft Users Group Asociación Civil. Además, soy owner de iniciativas como ConoSurTech y Aprender IT.

Ver todas las entradas de Pablo Ariel Di Loreto →
Suscribirse
Notificarme de
guest

0 Comentarios
Viejos
Nuevos Más votados
Scroll al inicio
0
Nos encantaría conocer tu opinión: ¡comenta!x