El ciberdelito financiero alcanzó niveles inéditos en Argentina cuando una sofisticada red criminal logró sustraer más de 600 millones de pesos mediante el troyano bancario Mekotio, afectando a más de 40 compañías en todo el país.
El primer indicio del fraude no apareció en el lenguaje de internet, sino en la contabilidad de las empresas. En 2024, un frigorífico argentino detectó movimientos no autorizados en sus cuentas. Esa denuncia activó, dentro de la Unidad Fiscal Especializada en Investigaciones de Ciberdelito (UFEIC) de San Isidro, la denominada Operación Tenevoy —»sombra» en ruso—. El 15 de abril de 2025, el patrón se repitió: una fábrica de envases plásticos de Beccar advirtió que desde una cuenta del Banco Provincia se habían realizado nueve transferencias por $42.650.000 hacia dos bancos privados.
El modus operandi: un correo y una puerta abierta
Los ataques se ejecutaron mediante correos electrónicos con archivos maliciosos que contenían Mekotio, un troyano bancario con activa presencia en América Latina. La trampa se camuflaba entre la rutina administrativa: facturas, vencimientos y comprobantes que alguien debía abrir para que el trabajo continuara. El archivo falso no necesitaba parecer extraordinario; su eficacia residía exactamente en lo contrario: adoptar la forma de una gestión más dentro del flujo laboral cotidiano.
Una vez dentro del sistema, el malware monitoreaba la actividad financiera, accedía a cuentas y claves, y ejecutaba transferencias canalizadas a través de cuentas mula. A diferencia del ransomware, Mekotio no cifra archivos para exigir un rescate: se infiltra, captura información sensible y habilita la transferencia ilícita de fondos.
El engaño se perfecciona
En ataques anteriores en la región, Mekotio se asoció al robo de credenciales mediante formularios falsos que imitaban sitios bancarios legítimos. También intervenía operaciones con criptomonedas: al reemplazar billeteras copiadas al portapapeles por direcciones controladas por los atacantes, una acción tan automática como copiar y pegar un destino quedaba modificada sin que el usuario lo advirtiera.
La variante más utilizada en Argentina, según la firma de ciberseguridad ESET, es el correo de factura impaga dirigido a Contaduría o Cuentas a Pagar. En 2023, Argentina concentró más de la mitad de las detecciones regionales de Mekotio. El troyano también circuló con correos que imitaban citaciones judiciales de la Policía Federal, invocando artículos del Código de Procedimiento Civil para intimidar a las víctimas.
La ruta del dinero: de las cuentas empresarias a la cueva en Belgrano
La parte digital de la maniobra necesitaba una salida financiera, y el tramo final de la cadena tenía nombre y apellido: Iván Materov, un ciudadano ruso de 42 años conocido como «el Oso Ruso». Según la Justicia, estaba detrás de Dólar Belgrano, una cueva financiera donde habrían sido derivados los 600 millones de pesos de la estafa.
Materov había llegado a Argentina desde Rusia menos de un año antes, instalándose con su esposa e hija en el barrio de Belgrano. Externamente se presentaba como desocupado; internamente, según la investigación de la UFEIC a cargo del fiscal Alejandro Musso, ocultaba una actividad que le generaba ganancias millonarias.
Dólar Belgrano operaba como una cueva cripto con servicio de delivery: recibía criptomonedas y entregaba dólares en efectivo, o realizaba el camino inverso. Sus anuncios circulaban en ruso por Telegram, dirigidos a la comunidad que había llegado al país desde 2022 por la guerra con Ucrania. La cueva prometía discreción y evitar las «preguntas innecesarias» sobre el origen del dinero.
El circuito cripto para ofuscar el origen
El dinero robado no se quedaba en pesos. Los delincuentes lo convertían en criptomonedas estables —USDT y USDC, atadas al dólar— y lo repartían entre cuentas mula mediante billeteras descentralizadas, que se abren en minutos y no exigen identificar al titular. La banda operó sobre la red Tron, más rápida, en lo que los investigadores describieron como un intento de «ofuscar» el origen del botín.
«Todo el sistema financiero descentralizado no pasa por ningún control de riesgo de lavado de activos», explicó un detective con experiencia en este tipo de causas. A pesar de esa capa de ocultamiento, el fiscal Musso y su equipo reconstruyeron la trazabilidad del dinero hasta llegar a Dólar Belgrano, donde los criminales completaban el último paso: cambiar las criptomonedas por dólares físicos que la cueva entregaba a domicilio en moto.
El operativo: 17 allanamientos y un botín móvil
El operativo se concretó con 17 allanamientos —11 en la Ciudad de Buenos Aires y seis en la provincia— a cargo de la Policía de la Ciudad y de la DDI de San Isidro. Uno de los puntos allanados fue el domicilio de Materov, que se resistió a entregar sus dispositivos, agredió al fiscal Musso e intentó destruir uno de sus teléfonos antes de que los efectivos lo redujeran y accedieran al dispositivo desbloqueado para su peritaje.
Como resultado fueron detenidas cinco personas y otras siete quedaron identificadas. Entre lo incautado figuran más de US$150.000 en criptomonedas, US$31.909 en efectivo, US$60.000 en cuentas de inversión, $1.912.300, 90 euros, 200 yuanes, 37 teléfonos celulares, 16 notebooks, 12 discos rígidos y otros dispositivos tecnológicos.
El alcance regional del troyano
La causa mostró una dimensión regional en dos planos: apuntó a desviar criptoactivos hacia Brasil, y análisis previos sobre Mekotio ya planteaban un posible origen brasileño de sus desarrolladores por la jerga del código fuente. Los troyanos bancarios siguen entre las amenazas más relevantes de la región: más del 75% de los países de un relevamiento con datos de Interpol los ubicó entre los cinco principales tipos de ciberdelito.
Argentina ofrece condiciones propicias para este tipo de ataques: bancarización digital, pagos en línea y una administración cotidiana apoyada en archivos y enlaces. A esto se suman técnicas como el geofencing —que activa el malware solo si la IP corresponde a una ubicación determinada— y la segmentación por idioma.
Prevención: un desafío que excede al antivirus
Para las empresas, la lectura del caso excede el consejo de no abrir archivos sospechosos. Esa recomendación sigue siendo necesaria, pero no alcanza frente a una maniobra que combina ingeniería social, acceso remoto y logística financiera. La prevención también pasa por revisar qué herramientas de administración remota están permitidas, quién las instala y qué controles existen antes de aprobar transferencias.
Esto obliga a cambiar el diálogo entre áreas: un ataque de este tipo involucra administración, finanzas, legales, cumplimiento, proveedores, bancos y dirección. La computadora vulnerada puede estar en un escritorio, pero el impacto llega a la caja, y la respuesta ya no depende solo del antivirus, sino de la capacidad de detectar operaciones anómalas, bloquear transferencias y seguir la ruta financiera.
El mensaje falso que abre la puerta a la estafa no necesita parecer extraordinario para ser eficaz. Al contrario, su potencia depende de lo opuesto: debe parecer una comunicación reconocible, un trámite que no conviene demorar o un archivo que alguien debería revisar antes de que termine el día.
Deja una respuesta