Tras la detención de cinco individuos implicados en la operación del troyano bancario Grandoreiro en una operación conjunta de la Interpol y la Policía Federal en marzo de este año, parecía que el malware había sido contenido. Sin embargo, Kaspersky advierte que el troyano sigue activo, con dos nuevas versiones que han elevado el número de ataques, manteniendo a España como uno de los países más afectados, con más de 11.000 intentos de ataque bloqueados en lo que va de 2024.

Nuevas versiones de Grandoreiro: expansión y especialización

A lo largo del año, los expertos en seguridad de Kaspersky han identificado dos variantes del troyano Grandoreiro, ambas detectadas en un principio en México. La primera, descubierta a mediados de 2024, es una versión ampliada del código original, orientada a atacar más de 1,700 entidades financieras en 45 países, incrementando de forma significativa su alcance.

La segunda, una versión «light» detectada en el tercer trimestre de 2024, reduce su capacidad para atacar específicamente a treinta bancos mexicanos, adaptando su código para enfocar su ataque y aumentar la eficiencia. Esta versión más ligera fue la responsable de 15.000 intentos de ataque en México, un 30% menos que la versión completa.

España y América Latina en el centro de la actividad de Grandoreiro

El malware Grandoreiro ha afectado a nivel global a 150.000 usuarios, con un foco particular en América Latina. Brasil encabeza el listado de países más atacados con 56.000 bloqueos, seguido de México (51.000), Argentina (6.400) y Perú (4.400).

España ocupa la tercera posición mundial, donde las detecciones y bloqueos han superado los 11.000 intentos desde enero, lo que refleja la persistencia de los cibercriminales en objetivos del país. Esta tendencia sitúa a Grandoreiro como el troyano bancario más activo en América Latina y el sexto a nivel mundial, responsable del 5% de todos los ataques bloqueados por Kaspersky en 2024.

Ingeniería social y «Malware como Servicio»: el modelo de Grandoreiro

El grupo detrás de Grandoreiro lleva activo desde 2016, empleando una combinación de mensajes masivos de spam y tácticas de ingeniería social para engañar a sus víctimas e instalar el troyano.

Una vez dentro del sistema, el malware se especializa en el robo de datos bancarios, utilizando un modelo de «Malware como Servicio» (MaaS). Esto significa que otros ciberdelincuentes pueden adquirir Grandoreiro para cometer fraudes financieros en distintos países, aunque, según Fabio Marenghi, investigador de seguridad en Kaspersky, el acceso al código parece restringido a pocos afiliados de confianza y no se comercializa en foros clandestinos.

“El troyano Grandoreiro muestra un nivel de evolución constante en su código, y las versiones fragmentadas y ligeras podrían extenderse a otras regiones más allá de América Latina”, comenta Marenghi, enfatizando que el troyano opera de manera diferente a los modelos tradicionales de MaaS al limitar el acceso a su código fuente.

La importancia de la monitorización continua

Kaspersky ha jugado un rol esencial en las investigaciones, colaborando con fuerzas de seguridad como la Policía Federal y la Interpol al proporcionar muestras de malware recopiladas en incidentes previos en Brasil y España entre 2020 y 2022.

Según Yuri do Amaral Nobre Maia, jefe de investigación de delitos de alta tecnología en la Policía Federal Brasileña, “la monitorización de IPs fue clave para rastrear a los delincuentes hasta su localización”. Sin embargo, dada la evolución constante del malware y el desarrollo de nuevas versiones, la colaboración con los expertos de Kaspersky sigue siendo fundamental para contener las actividades de este grupo.