El troyano bancario Mekotio secuestró correos administrativos de empresas argentinas para redirigir transferencias y provocó un fraude corporativo de más de 600 millones de pesos. El esquema afectó a alrededor de 40 empresas del país y apunta específicamente a las áreas de contaduría y cuentas a pagar de compañías con actividad financiera intensa. El primer caso conocido fue el de un frigorífico argentino en 2024; entre los más resonantes, una fábrica de envases plásticos de Beccar reportó en abril de 2025 nueve transferencias por 42.650.000 pesos desde una cuenta del Banco Provincia.
Cómo funciona el ataque
Mekotio entra por la puerta del correo. La víctima recibe un mail que simula una factura impaga o la comunicación de una empresa de servicios: algo que «debe parecer un trámite reconocible que no conviene demorar». Una vez instalado, el malware monitorea la actividad financiera, roba credenciales y ejecuta transferencias hacia cuentas mula. Para robar datos bancarios despliega formularios falsos que imitan sitios de bancos y una pantalla superpuesta de «actualización» durante el homebanking; también secuestra el portapapeles para reemplazar direcciones de billeteras cripto. Para instalarse, abusa de herramientas legítimas de administración remota como PDQ Connect, ScreenConnect y Atera Agent.
Qué es Mekotio, técnicamente
No es nuevo: es una familia de troyanos bancarios latinoamericanos activa desde alrededor de 2015, escrita en Delphi y distribuida principalmente por spam y phishing con correos de «factura» que descargan un archivo comprimido. Roba credenciales mediante ventanas emergentes falsas, hace keylogging y sustrae bitcoin cambiando la billetera en el portapapeles. Sus países objetivo históricos son Brasil, Chile, México, España, Perú y Portugal, pero el foco local es marcado: en 2023, Argentina concentró cerca del 52% de las detecciones regionales de la familia. Sus «hermanas» son viejas conocidas del panorama LATAM: Grandoreiro, Mispadu, Guildma y Cosmic Banker.
La respuesta: Operación Tenevoy
La investigación derivó en la Operación Tenevoy, con 17 allanamientos y cinco detenidos. El líder de la banda fue identificado como Iván Materov, ruso de 42 años apodado «el Oso Ruso». El dinero se convertía a través de una cueva cripto y el flujo de fondos apuntaba hacia Brasil. El caso ilustra una cadena completa de Business Email Compromise (BEC) montada sobre infraestructura de correo corporativo, con impacto financiero concreto sobre PyMEs argentinas.
Qué puede hacer una PyME para no ser la próxima
El «no abrir adjuntos sospechosos» ya no alcanza. Las medidas que mueven la aguja son concretas: MFA obligatorio en el homebanking y en el correo; verificación fuera de banda de todo cambio de CBU o cuenta destino antes de aprobar una transferencia, con doble control; auditar quién instala herramientas de administración remota en los equipos; y sumar detección de anomalías —operaciones inusuales por monto, horario o destino— más allá de la protección perimetral. Sobre todo, involucrar a administración, finanzas, legales y al banco en el circuito de aprobación, porque el eslabón que rompe Mekotio no es técnico: es el proceso de pago. ¿En tu empresa hay doble control para cambiar una cuenta destino? Te leemos en los comentarios.


