Los troyanos bancarios en España como Grandoreiro, Mekotio y sus variantes llevan años vaciando cuentas corrientes con una eficacia que asusta. No hablamos de amenazas teóricas: el INCIBE y la Guardia Civil alertan periódicamente de campañas activas que suplantan a Hacienda, Correos o tu propio banco para colarte un malware de banca online que captura tus credenciales mientras desayunas. España figura entre los países europeos más afectados por este tipo de troyano de robo bancario, y la razón es sencilla: funcionan. Los atacantes perfeccionan sus señuelos en castellano, los adaptan al calendario fiscal español y explotan la confianza que depositamos en notificaciones electrónicas oficiales.
Grandoreiro: el troyano latinoamericano que conquistó España
Grandoreiro nació en Brasil, pero lleva años operando con fuerza en la Península Ibérica. Es un troyano bancario escrito en Delphi que se distribuye principalmente a través de correos electrónicos con archivos adjuntos o enlaces a descargas disfrazadas de facturas, comprobantes de pago o notificaciones de organismos públicos.
Su modus operandi es metódico. Una vez ejecutado, Grandoreiro permanece latente hasta que detecta que abres la web de tu banco. En ese momento despliega una ventana superpuesta —idéntica a la del banco real— que captura tu usuario, contraseña y códigos de verificación. Mientras tú crees estar operando con normalidad, el malware envía tus credenciales a servidores controlados por los atacantes.
En enero de 2024, una operación coordinada entre Interpol, la Policía Federal de Brasil y fuerzas de seguridad españolas desarticuló parte de la red detrás de Grandoreiro, con arrestos en São Paulo y la identificación de infraestructura en España. Sin embargo, como suele ocurrir con estas redes, nuevas variantes aparecieron semanas después. La hidra del malware bancario regenera sus cabezas con facilidad.
Señales típicas de infección por Grandoreiro:
- Tu navegador muestra ventanas emergentes pidiendo datos bancarios fuera de contexto.
- El sistema va inusualmente lento al acceder a webs financieras.
- Recibes notificaciones de transferencias que no has autorizado.
- Encuentras procesos desconocidos en el Administrador de tareas (a menudo con nombres genéricos como
update.exeosvchost32.exe).
Mekotio: el otro peso pesado del fraude bancario
Mekotio comparte origen sudamericano con Grandoreiro, pero tiene su propia personalidad. También escrito en Delphi, este troyano bancario destaca por su capacidad de robar criptomonedas además de credenciales de banca online tradicional. Sustituye las direcciones de wallets Bitcoin copiadas al portapapeles por direcciones controladas por los atacantes —un truco simple y devastador.
Las campañas de Mekotio dirigidas a España suelen utilizar como cebo correos que simulan ser de la Agencia Tributaria, sobre todo durante la campaña de la Renta. El email contiene un enlace a un supuesto borrador o liquidación que descarga un archivo .zip con un instalador MSI en su interior. Si lo ejecutas, Mekotio se instala como servicio del sistema y sobrevive a los reinicios.
En 2021, la Guardia Civil arrestó a 16 personas en España vinculadas a operaciones con Mekotio y Grandoreiro (Operación Aguas Vivas). Los detenidos gestionaban la infraestructura de recepción de credenciales y el blanqueo del dinero robado mediante cuentas mula. A pesar de la operación, ambas familias de malware siguen activas con nuevas versiones que utilizan técnicas como el envenenamiento DNS para redirigir tráfico bancario sin que la víctima perciba nada extraño.
Otros troyanos bancarios activos en España
Grandoreiro y Mekotio son los más mediáticos, pero no están solos. El ecosistema de troyanos de robo bancario que apunta a usuarios españoles incluye varias familias más:
| Troyano | Vector principal | Objetivo | Particularidad |
|---|---|---|---|
| Ousaban | Email con adjunto ZIP/MSI | Banca online España/Latam | Usa imágenes BMP para ocultar payload |
| Casbaneiro (Metamorfo) | Email + descarga encadenada | Banca + criptomonedas | Abusa de YouTube para alojar C2 cifrados en descripciones |
| Zanubis | APK Android falsa | Banca móvil | Simula apps de organismos gubernamentales |
| FluBot | SMS con enlace (smishing) | Banca móvil Android | Desmantelado por Europol en 2022; su código inspiró sucesores |
| Medusa (TangleBot) | SMS/smishing + apps falsas | Banca móvil Android | Capacidad de grabación de pantalla y keylogging en tiempo real |
| Xenomorph | Apps falsas en Google Play | Banca móvil Europa | Ataca más de 400 entidades, incluidas españolas como CaixaBank, BBVA, Santander |
Xenomorph merece mención aparte. Descubierto por ThreatFabric en 2022, ha evolucionado hasta su versión 3, capaz de automatizar toda la cadena de fraude: desde el robo de credenciales hasta la ejecución de transferencias, sin intervención humana. Su lista de objetivos incluye apps de CaixaBank, Sabadell, Bankinter, ING España y decenas más.
Sobre FluBot: Europol desmanteló su infraestructura en junio de 2022, pero el código filtrado sirvió de base para nuevas familias como Medusa, que heredó sus técnicas de propagación por SMS y las combinó con capacidades más avanzadas de control remoto.
Los troyanos móviles son especialmente peligrosos porque interceptan los SMS de verificación en dos pasos (2FA). Con tu contraseña robada y el código SMS capturado, los atacantes tienen todo lo necesario para vaciar tu cuenta. Por eso los expertos recomiendan migrar a apps de autenticación (Google Authenticator, Authy) o llaves físicas FIDO2 cuando tu banco lo permita.
Cómo se propagan: los señuelos favoritos en España
Los operadores de estos troyanos bancarios en España conocen bien el calendario y la psicología local. Los señuelos más recurrentes:
- Agencia Tributaria / Hacienda: "Su borrador de la Renta está disponible", "Liquidación complementaria pendiente". Pico de actividad entre abril y junio.
- Correos y paquetería: "Su paquete está retenido en aduanas". Funciona todo el año, especialmente alrededor de Black Friday y Navidad.
- Entidades bancarias: Correos que imitan notificaciones de tu banco alertando de movimientos sospechosos —la ironía de que el malware se haga pasar por una alerta de seguridad.
- Facturas empresariales: "Adjuntamos factura vencida" con un ZIP que contiene un ejecutable MSI o un script PowerShell.
- Multas de tráfico (DGT): "Tiene una multa pendiente de pago". Clásico que funciona porque nadie quiere ignorar una multa.
El patrón es siempre el mismo: urgencia + autoridad + archivo adjunto o enlace. Antes de hacer clic en cualquier enlace de este tipo, aprende a verificar si un enlace es seguro. Son cinco minutos que pueden ahorrarte miles de euros.
Una tendencia reciente: los atacantes usan archivos .iso y .vhd como contenedores. Windows monta estos archivos como unidades virtuales, y su contenido evita las comprobaciones de "Mark of the Web" (MOTW) que normalmente disparan alertas de seguridad. Microsoft ha ido parcheando esto, pero muchos sistemas no están actualizados.
Protección real: qué hacer y qué herramientas usar
La teoría de "no abras archivos sospechosos" está muy bien, pero vamos a ser prácticos. Esto es lo que reduce de verdad tu superficie de exposición frente al malware de banca online:
En tu ordenador:
- Mantén Windows y Office actualizados. Muchos troyanos explotan vulnerabilidades conocidas con parches disponibles (por ejemplo, CVE-2017-11882 en el editor de ecuaciones de Office, aún explotado activamente).
- Usa un antivirus que incluya protección web en tiempo real. Windows Defender ha mejorado mucho, pero soluciones como Malwarebytes o Bitdefender añaden capas de detección conductual útiles contra troyanos polimórficos.
- Desactiva las macros de Office por defecto. La mayoría de troyanos bancarios las necesitan para ejecutarse.
- Si recibes un archivo sospechoso, súbelo a VirusTotal antes de abrirlo. Analiza con más de 70 motores antivirus simultáneamente.
En tu móvil:
- Instala apps solo desde Google Play o App Store. Y aun así, revisa los permisos y las reseñas.
- No concedas permisos de Accesibilidad a apps que no sean de confianza probada. Los troyanos Android abusan de este permiso para leer tu pantalla y capturar credenciales.
- Usa autenticación biométrica en tu app bancaria. Un troyano puede interceptar un SMS, pero no puede replicar tu huella dactilar.
En tu banco:
- Activa alertas por cada operación (transferencia, Bizum, pago con tarjeta). Si un troyano ejecuta una transferencia, al menos lo sabrás inmediatamente.
- Establece límites de transferencia diarios. Si tu banco lo permite, limita las transferencias online a una cantidad que puedas asumir perder.
- Revisa periódicamente los dispositivos autorizados en tu banca online. Si ves uno que no reconoces, cambia contraseñas y contacta con tu entidad.
Si trabajas en una empresa y gestionas datos financieros, considera que la inteligencia artificial aplicada a la detección de amenazas puede identificar patrones de comportamiento anómalo antes de que el daño esté hecho.
Preguntas frecuentes
¿Cómo sé si mi ordenador tiene un troyano bancario?
Vigila síntomas como lentitud inusual al acceder a webs bancarias, ventanas emergentes pidiendo datos fuera de contexto, o transferencias que no reconoces. Ejecuta un análisis completo con Malwarebytes (versión gratuita) y sube cualquier archivo sospechoso a VirusTotal. Si confirmas la infección, desconecta el equipo de internet y contacta con tu banco antes de intentar limpiarlo.
¿Mi antivirus me protege contra Grandoreiro y Mekotio?
Depende. Las firmas de las variantes conocidas están en la mayoría de antivirus actualizados. Pero estos troyanos mutan constantemente —Grandoreiro genera binarios ligeramente diferentes para cada campaña. Un antivirus con detección conductual (no solo basada en firmas) ofrece mejor protección. Ningún antivirus es infalible: complementa con sentido común y verificación manual de enlaces.
¿Qué hago si ya me han robado dinero con un troyano bancario?
Contacta con tu banco inmediatamente para bloquear la cuenta y reclamar la devolución (tienes cobertura bajo el Real Decreto-ley 19/2018 de servicios de pago si no hubo negligencia grave). Presenta denuncia ante la Policía Nacional o Guardia Civil con toda la documentación. Conserva los emails originales del phishing y no formatees el ordenador hasta que hayas reportado —la evidencia forense puede ser necesaria.
¿Los troyanos bancarios afectan a Mac y Linux?
La inmensa mayoría de Grandoreiro, Mekotio y sus variantes están diseñados para Windows. Sin embargo, existen troyanos bancarios para macOS (como OSX/Banker) y, sobre todo, para Android. Linux de escritorio sigue siendo el sistema menos atacado por este tipo de malware, aunque no es inmune. El verdadero campo de batalla móvil está en Android, donde Xenomorph, Medusa y otros acumulan cientos de miles de infecciones.
El siguiente paso
Abre ahora mismo la configuración de seguridad de tu banca online y activa las alertas por cada movimiento. Transferencias, pagos con tarjeta, accesos desde nuevos dispositivos: todo. Tarda menos de tres minutos y es la forma más rápida de detectar si un troyano bancario consigue operar con tus credenciales. Si además quieres entender cómo los atacantes clonan emails legítimos para que parezcan auténticos, pásate por ese artículo: conocer sus técnicas es la mejor vacuna.
