Grandoreiro y BTMOB: Ola de troyanos bancarios golpea a empresas y usuarios en Europa y Latinoamérica
1. Introducción
En las últimas semanas, expertos en ciberseguridad han detectado una preocupante oleada de campañas maliciosas dirigidas a empresas y usuarios en Europa y Latinoamérica, centradas especialmente en España, Portugal, México y Brasil. Los protagonistas de estos ataques son dos conocidos troyanos bancarios: Grandoreiro, enfocado en sistemas Windows, y BTMOB, diseñado para dispositivos Android. Las investigaciones, publicadas por WatchGuard y ESET, revelan una sofisticada ofensiva que aprovecha las diferencias regionales y las plataformas tecnológicas para maximizar la efectividad de las amenazas.
2. Contexto del Incidente o Vulnerabilidad
Grandoreiro y BTMOB no son actores nuevos en el panorama de amenazas. Grandoreiro, identificado originalmente en 2017 y vinculado a la ciberdelincuencia latinoamericana, ha evolucionado hasta convertirse en una de las familias de malware bancario más activas en Europa y América Latina. Por su parte, BTMOB (también conocido como BRATA) comenzó su actividad en Brasil, expandiendo su alcance a otros mercados hispanohablantes con tácticas cada vez más especializadas en la exfiltración de credenciales bancarias desde dispositivos móviles.
Ambas campañas recientes han demostrado una notable capacidad de adaptación, seleccionando objetivos específicos según la región y el sistema operativo. Mientras Grandoreiro ataca prioritariamente a empresas y usuarios finales en España, Portugal y México, BTMOB se dirige a usuarios móviles en Brasil, explotando el auge de la banca móvil en ese país.
3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
Grandoreiro se propaga principalmente mediante campañas de phishing por correo electrónico, utilizando documentos adjuntos maliciosos, enlaces a sitios web falsificados y técnicas de ingeniería social para engañar a los usuarios. El malware aprovecha macros maliciosos en archivos de Microsoft Office para ejecutar su payload en sistemas Windows (habitualmente versiones Windows 7, 8.1, 10 y 11). Los indicadores de compromiso (IoC) incluyen dominios y direcciones IP asociadas a infraestructuras C2 (Command & Control) activas, hashes de archivos maliciosos y patrones de comportamiento en memoria.
Tácticas, Técnicas y Procedimientos (TTP) de Grandoreiro según MITRE ATT&CK:
– TA0001: Initial Access (Phishing, Spearphishing Attachment)
– TA0002: Execution (User Execution, Malicious Macro)
– TA0005: Defense Evasion (Obfuscated Files or Information)
– TA0006: Credential Access (Input Capture, Keylogging)
En cuanto a BTMOB, el ataque se inicia mediante aplicaciones maliciosas fuera de Google Play, distribuidas a través de enlaces SMS o WhatsApp y sitios web fraudulentos. Una vez instalado, el troyano solicita permisos de accesibilidad y superposición de pantalla para capturar credenciales, interceptar mensajes SMS y exfiltrar datos bancarios. Destaca el uso de técnicas de evasión como la desinstalación de aplicaciones de seguridad y la autodestrucción tras la operación para dificultar el análisis forense.
No se han divulgado CVEs específicos, ya que ambas amenazas explotan principalmente la ingeniería social y la falta de controles de seguridad en los dispositivos comprometidos, más que vulnerabilidades técnicas conocidas.
4. Impacto y Riesgos
El impacto de estas campañas es significativo. Grandoreiro permite a los atacantes robar credenciales bancarias, acceder a cuentas corporativas y personales, e incluso realizar movimientos fraudulentos de fondos. Según datos de ESET, la campaña ha afectado a decenas de miles de dispositivos en los países señalados, con pérdidas económicas potenciales superiores a los 10 millones de euros.
BTMOB, por su parte, representa una amenaza crítica para usuarios de banca móvil, especialmente en Brasil, donde la penetración de la banca digital supera el 70%. El control total sobre el dispositivo permite a los atacantes vaciar cuentas, interceptar tokens 2FA y deshabilitar protecciones de seguridad, incrementando el riesgo de fraude masivo y robo de identidad.
5. Medidas de Mitigación y Recomendaciones
Para mitigar el riesgo asociado a Grandoreiro y BTMOB, los profesionales de seguridad deben:
– Implementar filtros de correo electrónico avanzados y formación continua en phishing.
– Deshabilitar macros por defecto en los entornos corporativos.
– Monitorizar IoC y bloquear dominios/IPs asociados.
– Utilizar soluciones EDR/XDR para la detección y respuesta en endpoints.
– Limitar la instalación de aplicaciones desde fuentes no oficiales en dispositivos móviles.
– Exigir autenticación multifactor (MFA) robusta y notificaciones de acceso inusual.
– Actualizar y parchear sistemas operativos y aplicaciones de manera regular.
6. Opinión de Expertos
Analistas de WatchGuard y ESET coinciden en que la especialización regional y la combinación de vectores Windows y Android marcan una tendencia creciente en la sofisticación de la ciberdelincuencia bancaria. “Estamos viendo una profesionalización del cibercrimen, donde los grupos adaptan sus tácticas a los hábitos digitales y sistemas predominantes en cada país”, señala Josep Albors, responsable de investigación de ESET España.
7. Implicaciones para Empresas y Usuarios
Para las empresas, el riesgo no solo es financiero, sino también reputacional y regulatorio. Un incidente de este tipo puede activar obligaciones de notificación bajo GDPR y NIS2, con sanciones económicas que pueden alcanzar el 4% de la facturación anual. Los usuarios individuales, especialmente los que usan banca móvil, deben extremar la precaución con aplicaciones desconocidas y mantener sus dispositivos actualizados y protegidos.
8. Conclusiones
Las campañas de Grandoreiro y BTMOB evidencian la convergencia de amenazas multiplataforma y la necesidad de estrategias de seguridad integradas que abarquen tanto sistemas de escritorio como móviles. La colaboración internacional en inteligencia de amenazas y la concienciación de usuarios y empresas serán clave para contener este tipo de ofensivas en el futuro inmediato.
(Fuente: feeds.feedburner.com)