Contexto
¿Cómo comenzó la investigación que desarticuló la red criminal?
El caso se originó a partir de la denuncia de un frigorífico argentino, en mayo de 2024. Sus responsables notaron movimientos bancarios inusuales, con importantes sumas de dinero transferidas a cuentas desconocidas. El análisis forense digital reveló que el sistema administrativo había sido comprometido con el malware Mekotio. Esta primera alerta activó la investigación coordinada por el fiscal Alejandro Musso y llevada adelante por la DDI de San Isidro, con colaboración de la Policía de la Ciudad y de la Provincia de Buenos Aires.
¿Qué características tiene el virus Mekotio y cómo logró infectar a las víctimas?
Mekotio es un troyano bancario que ha sido detectado en otros países de América Latina y ya era conocido por las fuerzas de seguridad. Se propaga a través de correos electrónicos engañosos que contienen un archivo malicioso. En este caso, el mensaje estaba diseñado para persuadir a los empleados clave de las empresas atacadas para que descargaran el archivo y lo ejecutaran en sus computadoras. Una vez instalado, el malware operaba en segundo plano, recolectando datos sensibles como claves bancarias, cuentas y montos. Luego de un periodo de observación, los delincuentes ejecutaban el vaciamiento de las cuentas.
¿Qué perfil tenían las empresas afectadas por los ataques?
Las víctimas fueron pequeñas y medianas empresas, seleccionadas estratégicamente. Según explicaron fuentes judiciales, se trata de compañías con niveles de facturación lo suficientemente altos como para justificar el esfuerzo del ataque, pero que no cuentan con estructuras de ciberseguridad robustas. “No se trata de ataques al voleo —explicó una fuente cercana al expediente—. Estas bandas estudian cómo hacer caer a determinados empleados en la trampa, a través de correos electrónicos dirigidos específicamente”.
¿Cómo estaba estructurada la organización criminal?
La red no respondía a un comando único sino que funcionaba como un ensamble de bandas freelance. Cada grupo se encargaba de una parte de la operación: el desarrollo del malware fue obra de un hacker brasileño, mientras que el movimiento del dinero requería la participación de mulas —personas que prestaban sus cuentas bancarias— de nacionalidades argentina, peruana y venezolana. Uno de los eslabones más relevantes del circuito financiero era una cueva informal operada por un ciudadano ruso, bautizada Tenevoy, palabra que en ruso significa “en las sombras”.
SISVD3JTSRGR3EVUFESW7MJGMY.avif
¿Qué tipo de operaciones realizaban para mover el dinero robado?
Una vez que los fondos eran extraídos de las cuentas empresariales, se iniciaba un proceso de triangulación. Las transferencias se dirigían primero a una serie de cuentas muleto, tanto en bancos públicos como privados. Desde allí, se derivaban a billeteras virtuales y luego se convertían en criptoactivos, principalmente en USDT. En este punto, el dinero era reenviado a nuevas billeteras, en una cadena que buscaba dificultar el rastreo. Finalmente, los fondos eran centralizados y redistribuidos entre los integrantes del esquema criminal.
¿Qué permitió identificar a los sospechosos?
El quiebre de la investigación se dio a partir de un error operacional. Uno de los miembros de la banda cambió el chip SIM de su celular, lo que permitió a los investigadores asociar ese número a una cuenta receptora de fondos robados. Esta pista fue clave para reconstruir la red. La fiscalía ordenó el análisis cruzado de registros bancarios, movimientos de criptomonedas, informes telefónicos y declaraciones testimoniales, lo que permitió mapear a los principales involucrados.
D7APDTX5SNCGXM6UOLAKTU6WHM.avif
¿Qué fue lo incautado en los allanamientos?
El martes 6 de mayo se llevaron a cabo 16 allanamientos en simultáneo, diez en la Ciudad de Buenos Aires y seis en territorio bonaerense, incluyendo operativos en barrios como Núñez y la villa Carlos Gardel. Entre los arrestados se encuentra el ciudadano ruso señalado como operador de la cueva Tenevoy. Uno de los elementos incautados fue un teléfono celular que contenía 25.000 dólares en criptomonedas USDT. Además, se requisaron computadoras, chips telefónicos, documentación y dispositivos de almacenamiento con potencial valor probatorio.
¿Quién es el fiscal que lidera el caso y cuál es su experiencia?
El fiscal Alejandro Musso está al frente de la Unidad Funcional Especializada en Ciberdelitos (UFEIC) de San Isidro. Ya había enfrentado casos similares: en abril de 2023 investigó otro fraude vinculado al virus Mekotio, que en aquella ocasión produjo un daño económico estimado en 60 millones de pesos. La experiencia previa del fiscal y su equipo resultó clave para comprender la lógica del delito digital y avanzar sobre una operación de mayor escala y sofisticación.
¿Qué perfiles tenían algunos de los detenidos?
Uno de los primeros sospechosos detenidos fue un joven de 24 años, identificado como M.C., arrestado en Núñez. Registrado en la ex AFIP como mensajero y con antecedentes laborales en una cadena de supermercados, seguía afiliado a la obra social de su padre. Su perfil subraya un rasgo común en estas organizaciones: la captación de personas sin antecedentes relevantes, lo que permite disimular mejor los movimientos bancarios y evitar alertas tempranas.
Cómo sigue
La causa sigue en curso bajo la órbita de la fiscalía de San Isidro, con nuevas pericias sobre el material incautado en los allanamientos. Los investigadores continúan trabajando en el trazado de los fondos cripto y en la identificación de eslabones aún no descubiertos en esta estructura descentralizada. No se descarta que surjan más implicados a medida que se analicen las billeteras virtuales vinculadas al caso.
