Grandoreiro: la sombra digital que amenaza el sistema financiero mexicano
En 2024, el troyano bancario Grandoreiro ha emergido con una nueva variante simplificada, dirigida a 30 instituciones financieras en México. A pesar de los esfuerzos de las autoridades por desmantelar redes criminales, este malware continúa evolucionando y adaptándose, representando más del 5% de los ataques de troyanos bancarios a nivel global y poniendo en riesgo el sector financiero del país.
El troyano bancario Grandoreiro sigue siendo una amenaza activa y en evolución en 2024, con México como uno de los países más afectados. A pesar de recientes arrestos de importantes grupos criminales a principios del año, nuevas versiones del malware han surgido, adaptadas para continuar atacando a bancos mexicanos. Según el equipo de Investigación y Análisis Global de Kaspersky (GReAT), una nueva variante simplificada de Grandoreiro está en el centro de una campaña dirigida específicamente a 30 instituciones financieras en México.
Grandoreiro es una de las amenazas cibernéticas más activas a nivel mundial. En 2024, representó cerca del 5% de los ataques de troyanos bancarios. Este malware tiene una larga trayectoria desde su aparición en 2016, y ha sido constantemente actualizado y adaptado para evitar su detección. Tras una operación coordinada por INTERPOL que resultó en la detención de varios grupos criminales en Brasil, Kaspersky detectó que los atacantes fragmentaron la base de código de Grandoreiro, creando versiones más ligeras y especializadas, lo que les ha permitido continuar con sus actividades delictivas a pesar de los esfuerzos de las autoridades.
Esta estrategia de dividir el código en versiones simplificadas muestra la capacidad de adaptación de los ciberdelincuentes. La nueva variante, en particular, está diseñada para operar en México, donde sigue siendo una de las principales amenazas para el sector financiero.
Características de la nueva variante simplificada
Uno de los aspectos clave de esta nueva versión es su enfoque específico en instituciones bancarias mexicanas. Según Kaspersky, los creadores de Grandoreiro han lanzado esta variante utilizando el malware heredado, pero con modificaciones que lo hacen más ágil y difícil de detectar. Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, señala que «las versiones fragmentadas y más ligeras de Grandoreiro pueden convertirse en una tendencia global. Aunque por ahora están limitadas a México, podrían expandirse a otras regiones de América Latina y, eventualmente, a nivel mundial».
Una de las particularidades del modelo operativo de Grandoreiro es que no sigue el esquema tradicional de «Malware como Servicio» (MaaS), en el que se vende o alquila el malware en foros clandestinos.
Tácticas avanzadas para evitar detección
Grandoreiro no solo es una amenaza persistente, sino que también ha mejorado sus técnicas para eludir los sistemas de seguridad. Kaspersky ha detectado que la nueva variante utiliza estrategias sofisticadas como la simulación de la actividad del mouse en la computadora infectada. Esta técnica imita los movimientos naturales del usuario con el objetivo de engañar a los sistemas antifraude basados en aprendizaje automático, que analizan el comportamiento del usuario para identificar posibles actividades maliciosas.
Además, el malware ha adoptado una técnica criptográfica avanzada conocida como Robo de Texto Cifrado (Ciphertext Stealing). Esta estrategia permite cifrar las cadenas de código malicioso, haciendo que sea más difícil para las herramientas de seguridad y los analistas detectar la amenaza. Según Assolini, «Grandoreiro tiene una estructura compleja que facilitaría su detección si no fuera por el cifrado de sus cadenas. Con esta nueva técnica, los atacantes buscan complicar aún más los esfuerzos de análisis y detección».
Impacto global de Grandoreiro en 2024
Los datos recopilados por Kaspersky revelan que Grandoreiro no solo se ha enfocado en México, sino que ha expandido sus actividades a nivel global. En lo que va del año, el malware ha atacado a más de 1,700 instituciones financieras y 276 carteras de criptomonedas en 45 países y territorios. Recientemente, Asia y África se han sumado a la lista de regiones objetivo, consolidando a Grandoreiro como una amenaza financiera verdaderamente global.
La continua evolución de este troyano subraya la capacidad de los ciberdelincuentes para adaptarse a las nuevas tecnologías de seguridad y mantener sus operaciones activas. A pesar de los esfuerzos de las autoridades para detener a los principales actores detrás de este malware, los afiliados que aún tienen acceso al código fuente siguen lanzando campañas adaptadas, lo que representa un desafío constante para las instituciones financieras y los especialistas en ciberseguridad.
Perspectivas a futuro
La aparición de versiones simplificadas y fragmentadas de Grandoreiro sugiere una tendencia hacia la creación de malwares más especializados y dirigidos a sectores o regiones específicas. Si bien México es el foco principal de esta nueva campaña, es probable que otros países de América Latina estén en riesgo en el futuro. Kaspersky continúa monitoreando las actividades de este malware y otras amenazas similares, subrayando la importancia de mantener actualizadas las soluciones de seguridad y educar a los usuarios sobre los riesgos de los ataques cibernéticos.
Grandoreiro sigue siendo un ejemplo claro de cómo los troyanos bancarios pueden evolucionar y adaptarse a medida que los delincuentes buscan nuevas formas de burlar las defensas de seguridad. La colaboración entre las autoridades y los expertos en ciberseguridad será clave para mitigar el impacto de este tipo de amenazas en el futuro.
