La Agencia de Recaudación de la República Argentina (ARCA), ex AFIP, alertó sobre una nueva modalidad de fraude digital que está afectando a contribuyentes de todo el país. Se trata de correos electrónicos falsos, que simulan ser comunicaciones oficiales del organismo y utilizan una supuesta multa tributaria como señuelo.
Sin embargo, detrás de esta fachada, se esconde un troyano bancario conocido como Grandoreiro, diseñado para robar credenciales financieras y vaciar cuentas de homebanking.
¿Cómo opera la estafa y cuál es el mail utilizado?
El modus operandi es tan simple como efectivo: los delincuentes envían un correo electrónico que lleva como remitente un nombre que combina elementos del antiguo y del actual organismo recaudador: "AFIP Revisiones pendientes", con la dirección fraudulenta serviciosarca@afip.com. Esta mezcla —entre “AFIP” y “ARCA”— es la primera señal de alerta.
El asunto del correo suele ser alarmante, buscando generar urgencia. En el cuerpo del mensaje se incluye una falsa notificación de multa, con un lenguaje y estética que imitan los comunicados oficiales. El objetivo es generar pánico o apuro en el contribuyente para que este haga clic sin verificar la autenticidad del mensaje.
El enlace trampa
El correo ofrece un botón o link que supuestamente permite acceder al “documento fiscal”. Sin embargo, al presionar ese enlace, el usuario es redirigido a un sitio malicioso desde donde se descarga automáticamente un archivo comprimido con nombres aleatorios.
Dentro de ese .zip se encuentra un archivo con extensión .vbs (Visual Basic Script), que al ejecutarse instala en segundo plano el troyano Grandoreiro, un malware bancario especializado en capturar datos confidenciales.
¿Qué es el troyano Grandoreiro?
Grandoreiro es un troyano de origen latinoamericano, que ha sido ampliamente utilizado para atacar a usuarios de servicios financieros en varios países de la región. Una vez instalado en el equipo:
- Captura claves y credenciales bancarias introducidas por el usuario.
- Puede intervenir sesiones de homebanking en tiempo real.
- Permite el control remoto del equipo infectado, incluso registrar pantallas y movimientos del mouse.
- Su objetivo final es vaciar las cuentas bancarias del usuario o realizar transferencias no autorizadas.
Qué recomienda ARCA
La propia ARCA informó que jamás solicita la descarga de archivos ejecutables ni el ingreso a páginas externas a través de correos electrónicos. Ante la mínima duda, recomiendan:
- No abrir archivos adjuntos ni enlaces sospechosos.
- Verificar que las comunicaciones oficiales provengan de dominios oficiales, como @arca.gob.ar.
- No ingresar datos personales ni claves a través de correos electrónicos.
- Denunciar el intento de fraude en el canal de denuncias de la agencia o al CERT de Seguridad Informática Nacional.
ARCA: más noticias
Qué hacer si ya hiciste click en el enlace
En caso de haber descargado o ejecutado el archivo, se recomienda:
- Desconectar el dispositivo de internet de inmediato.
- Realizar un análisis completo con un antivirus actualizado.
- Cambiar las contraseñas de todas las cuentas bancarias y correos.
- Contactar al banco para reportar una posible vulneración de seguridad.
