La ciberseguridad del sector financiero mexicano está atravesando un momento crítico ante el auge del troyano Grandoreiro, una amenaza que ha logrado establecerse como uno de los malwares más sofisticados en la región. Este software malicioso, que opera desde 2016 bajo un modelo privado de Malware-as-a-Service (MaaS), ha intensificado notablemente su actividad durante 2024, acumulando más de 51,000 ataques y representando aproximadamente el 5% de los incidentes mundiales relacionados con troyanos bancarios.
La singularidad de Grandoreiro radica en su modelo de distribución exclusivo, alejándose de los típicos foros clandestinos donde se comercializan otras amenazas similares. Sus desarrolladores han optado por un enfoque selectivo, limitando el acceso a las versiones más recientes a un círculo reducido de colaboradores de confianza. Esta estrategia no solo ha dificultado su rastreo, sino que también ha permitido mantener un control más estricto sobre sus evoluciones y adaptaciones.
La versión más reciente detectada en México, aunque aparentemente simplificada, incorpora innovaciones tecnológicas significativas. Entre sus características más notables destaca la implementación de la técnica criptográfica de robo de texto cifrado (Ciphertext Stealing) y un sofisticado sistema de monitoreo que simula movimientos reales del mouse para evadir los sistemas de detección basados en aprendizaje automático. Esta combinación de técnicas ha conseguido burlar incluso los sistemas de seguridad más avanzados en aproximadamente 30 instituciones financieras mexicanas.
El alcance de Grandoreiro se extiende mucho más allá de las fronteras mexicanas, amenazando a más de 1,700 instituciones financieras distribuidas en 45 países, incluyendo Argelia, Angola, Argentina, Australia, Brasil, Canadá, Chile, Colombia, España y Estados Unidos. Sin embargo, el análisis de telemetría señala que México, junto con Brasil, España y Argentina, concentra la mayor parte de los ataques, convirtiendo a la región latinoamericana en el epicentro de esta amenaza cibernética.
A pesar de los esfuerzos coordinados entre INTERPOL, autoridades brasileñas y empresas de ciberseguridad, que resultaron en la detención de varios operadores principales a principios de 2024, el troyano ha demostrado una notable capacidad de adaptación. Los desarrolladores han respondido fragmentando el código en versiones más ligeras y ágiles, lo que no solo ha permitido mantener su efectividad, sino que también ha abierto la posibilidad de una expansión más allá de sus territorios tradicionales de operación.
La protección contra esta amenaza requiere un enfoque multifacético que combina actualizaciones constantes de software, precaución en la gestión de correos electrónicos y archivos de origen desconocido, implementación de firewalls robustos y uso de soluciones antivirus confiables. Sin embargo, la naturaleza evolutiva de Grandoreiro subraya la importancia de mantener estas medidas en constante actualización, ya que cada nueva versión del troyano busca específicamente evadir los mecanismos de seguridad existentes.
La colaboración continua entre agencias de seguridad internacionales y empresas especializadas en ciberseguridad resulta fundamental para desarrollar contramedidas efectivas contra este troyano en constante evolución, especialmente considerando su capacidad para adaptarse y superar las barreras de seguridad tradicionales.
Con información de: Xataka
Artículo redactado con asistencia de diversas inteligencias artificiales generativas con supervisión humana (redacción AD).