Cómo el troyano bancario Mekotio convirtió correos administrativos en un fraude corporativo de más de $600 millones

El primer indicio del fraude no apareció en el lenguaje de internet, sino en la contabilidad de las empresas. En 2024, un frigorífico argentino detectó fondos que nadie había autorizado en sus cuentas; esa denuncia activó, dentro de la Unidad Fiscal Especializada en Investigaciones de Ciberdelito (UFEIC) de San Isidro, el expediente que se conocería como Operación Tenevoy —palabra que en ruso significa “sombra”—. Tiempo después, el 15 de abril de 2025, el patrón se repitió: una fábrica de envases plásticos de Beccar, en el mismo partido, advirtió que desde una cuenta del Banco Provincia se habían hecho nueve transferencias hacia dos bancos privados por $42.650.000. No cambió el método entre un caso y el otro: cambió la certeza. Lo que en 2024 podía leerse como un hecho aislado, en 2025 confirmó una red activa contra empresas argentinas que terminaría reuniendo más de 40 compañías afectadas, cuentas usadas como escala, criptoactivos, una cueva en Belgrano y una pista hacia Brasil. Un mail con una factura impagaSegún la información que figura en la causa, los ataques se hicieron mediante correos electrónicos con archivos maliciosos que contenían Mekotio, un troyano bancario activo en América Latina. La trampa funcionaba en el terreno más común de cualquier compañía: la bandeja de entrada, donde conviven facturas, vencimientos y comprobantes que alguien debe abrir para que el trabajo siga. Un archivo falso no necesitaba parecer extraordinario; le bastaba con adoptar la forma de una gestión más. Una vez dentro del sistema, el malware monitoreaba la actividad financiera, accedía a cuentas y claves, y ejecutaba transferencias canalizadas a través de cuentas mula con destino final en Brasil. Mekotio no es ransomware: no cifra archivos para exigir un rescate, sino que se infiltra, captura información y habilita la transferencia. En ataques anteriores con Mekotio en la región, el troyano se asoció al robo de credenciales mediante formularios falsos que imitaban sitios bancarios legítimos. También podía intervenir operaciones con criptomonedas: al reemplazar billeteras copiadas al portapapeles por direcciones controladas por los atacantes, una acción tan automática como copiar y pegar un destino podía quedar modificada sin que el usuario lo advirtiera. Mekotio ya había sido detectado con una lógica parecida en otros países: intentos de suplantar al Servicio de Administración Tributaria en México, al Servicio de Impuestos Internos en Chile, y a CONASET, Movistar y Edenor en la Argentina. La variante más usada de la familia en el país, según la firma de ciberseguridad ESET, es el correo de factura impaga, dirigido a Contaduría o Cuentas a pagar, donde es más fácil que alguien asuma que un proveedor olvidó saldar algo; la Argentina concentró en 2023 más de la mitad de las detecciones regionales de Mekotio. Esta lógica de camuflaje tomó otras formas en el país, sin que estuvieran necesariamente ligadas a esta causa puntual. Circuló, por ejemplo, un correo que imitaba una citación judicial: decía provenir de la Policía Federal, invocaba un artículo del Código de Procedimiento Civil para intimar a comparecer como testigo y ofrecía un botón para descargar la supuesta citación; quien hacía clic instalaba, sin saberlo, un ejecutable disfrazado de actualización de Windows. En otras campañas, el engaño apuntaba directamente al momento del robo: con el malware ya instalado, al abrir el homebanking aparecía una imagen falsa de “actualización” que cubría la pantalla mientras, detrás, el atacante operaba la cuenta; si el banco pedía un token, la misma superposición inducía a tipearlo creyendo que validaba la actualización. Son dos de las formas más recurrentes con las que esta familia de malware operó en distintos momentos en el país. El análisis técnico de SCILabs describe mecanismos de detección de ventanas activas dentro de la computadora y secuestro de la aplicación Portapapeles: el programa reconoce el entorno, evita ser analizado y arma el engaño según lo que la víctima tiene abierto en pantalla. En otros ataques y fraudes, los mensajes de Mekotio llevaron a descargar herramientas como PDQ Connect, que los atacantes usaron luego para instalar el troyano y tomar control del sistema; Scitum identificó un patrón similar con ScreenConnect y Atera Agent en ataques con Grandoreiro. La diferencia entre una herramienta de soporte y una vía de intrusión depende de quién la instala y con qué fin: en manos de un equipo técnico, ordena la administración de sistemas; en manos de una red criminal, abre una ventana hacia adentro de la organización. La ruta física del dinero La parte digital de la maniobra necesitaba una salida financiera, y el tramo final de la cadena tenía nombre y apellido: Iván Materov, un ciudadano ruso de 42 años conocido como “el Oso Ruso”, que según la Justicia estaba detrás de Dólar Belgrano, la cueva financiera donde habrían sido derivados los 600 millones de pesos de la estafa. Había llegado a la Argentina desde Rusia menos de un año antes, junto con su esposa y su hija pequeña, y se instaló en Belgrano. Hacia afuera decía ser un desocupado; hacia adentro, según la investigación de la UFEIC a cargo del fiscal Alejandro Musso, ocultaba una actividad que le generaba ganancias importantes. Dólar Belgrano operaba como una cueva cripto con servicio de delivery: recibía criptomonedas y entregaba dólares en efectivo, o hacía el camino inverso. Sus anuncios circulaban en ruso por Telegram, dirigidos a quienes habían llegado al país desde 2022 por la guerra con Ucrania, una comunidad a la que la cueva prometía discreción y evitar las “preguntas innecesarias” sobre el origen del dinero. Los investigadores cruzaron, además, un perfil de Instagram con el mismo nombre y la misma foto que la cuenta de Telegram. La cueva no tenía sede fija: operaba en departamentos alquilados de manera temporaria, con una logística que combinaba billeteras digitales, efectivo, teléfonos y entregas físicas. El domicilio real de Materov y su familia —un edificio sobre la calle Moldes, en Belgrano— quedó identificado como otro punto de interés para la Justicia. Tanto el frigorífico de 2024 como la fábrica de Beccar terminaron alimentando ese mismo circuito. Según fuentes policiales del expediente, los estafadores habían adquirido el software malicioso Mekotio en Brasil y lo distribuyeron mediante correos que simulaban provenir de empresas de servicios; una vez instalado, el programa monitoreaba la actividad financiera, accedía a cuentas y claves, y ejecutaba las transferencias que vaciaban la cuenta de la víctima. El dinero robado no se quedaba en pesos: los delincuentes lo convertían en criptomonedas estables —USDT y USDC, atadas al dólar— y lo repartían entre cuentas mula para dificultar el seguimiento, mediante billeteras descentralizadas que se abren en minutos y no exigen identificar al titular, a diferencia de las billeteras centralizadas. “Todo el sistema financiero descentralizado no pasa por ningún control de riesgo de lavado de activos”, explicó un detective con experiencia en este tipo de causas y citado en el newsletter Dark News del periodista Juan Brodersen. La banda operó sobre la red Tron, más rápida, en lo que los investigadores describieron como un intento de “ofuscar” el origen del botín. A pesar de esa capa de ocultamiento, el fiscal Musso y su equipo reconstruyeron la trazabilidad del dinero hasta llegar a Dólar Belgrano. Ahí, según uno de los investigadores, los criminales completaban el último paso: cambiaban las criptomonedas por dólares físicos, que la cueva entregaba a domicilio en moto. 17 allanamientos y un botín móvilEl operativo se concretó un martes, con 17 allanamientos —11 en la ciudad de Buenos Aires y seis en la provincia— a cargo de la Policía de la Ciudad y de la DDI de San Isidro. Uno de los puntos allanados fue el domicilio de Materov, que se resistió a entregar sus dispositivos, agredió al fiscal Musso, presente en el lugar, e intentó destruir uno de sus teléfonos antes de que los efectivos lo redujeran y accedieran al dispositivo desbloqueado para su peritaje. Como resultado fueron detenidas cinco personas y otras siete quedaron identificadas, tres hombres y cuatro mujeres. Entre lo incautado figuran más de US$150.000 en criptomonedas, US$31.909 en efectivo, US$60.000 en cuentas de inversión, $1.912.300, 90 euros, 200 yuanes, 37 teléfonos celulares, 16 notebooks, 12 discos rígidos, una netbook y otros dispositivos tecnológicos. Esa lista —divisas, activos digitales, computadoras, teléfonos, soportes de almacenamiento— podía contener rastros de chats, accesos y contactos: el dinero que había salido de las cuentas empresarias volvía a aparecer en otra forma, lista para ser peritada. Los criptoactivos no son, por sí mismos, sinónimo de delito; en una estructura clandestina como Dólar Belgrano, en cambio, actuaron como estación de tránsito para sumar distancia entre la víctima y el beneficiario final. La causa también mostró una organización distribuida, con sospechosos identificados a partir de movimientos bancarios, informes telefónicos y tareas de inteligencia: quién administraba el malware, quién recibía fondos, quién prestaba una cuenta, quién convertía activos digitales y quién entregaba dólares. La dimensión regional apareció en dos planos: la causa apuntó a desviar criptoactivos hacia Brasil, y análisis previos sobre Mekotio ya planteaban un posible origen brasileño de sus desarrolladores por la jerga del código fuente del software. Los troyanos bancarios siguen entre las amenazas más relevantes de la región: más del 75% de los países de un relevamiento de Scitum con datos de Interpol los ubicó entre los cinco principales tipos de ciberdelito, y Mekotio representó el 12% de la distribución, detrás de URSA/Mispadu y Grandoreiro. La región ofrece condiciones propicias: bancarización digital, pagos en línea y una administración cotidiana apoyada en archivos y enlaces, a lo que se suman técnicas como el geofen