Agentes de la Policía Nacional han desarticulado una organización criminal liderada por un menor y dedicada a las estafas informáticas mediante técnicas de ingeniería social tipo phishing, smishing y vishing, que operaba en todo el territorio nacional. Los miembros de la red estafaron a 200 personas en dos meses y el valor de lo defraudado asciende a 350.000 euros.
El menor que dirigía el entramado, además de crear sus propias herramientas informáticas para la realización de las estafas (webs falsas de entidades bancarias o enlaces comprometidos para remitir por sms o email a las víctimas), las vendía a otras organizaciones criminales para que las explotasen, un modo de operar denominado crime as a service.
En total, los implicados en la trama suplantaron la imagen de 18 entidades bancarias diferentes, habiéndose intervenido listados con los datos privados (nombres apellidos, DNI y claves de acceso a la banca privada) de más de 100.000 clientes bancarios agrupados por entidades y preparados para su utilización. Los miembros de la red llamaban a las víctimas, haciéndose pasar por empleados de los bancos, para solventar una supuesta brecha de seguridad y les solicitaban un código que posibilitaba a los detenidos la realización de transacciones fraudulentas a su favor.
Además del menor que lideraba este grupo dedicado a la estafa informática, que ha ingresado en un centro en régimen cerrado, la Policía ha detenido a 24 personas en Cádiz, Málaga y Barcelona, de las que ocho han entrado en prisión. Los agentes realizaron seis registros, en los que intervinieron dos armas de fuego simuladas, 10.000 euros, listados con los datos personales de 100.000 personas, más de una treintena de terminales móviles de última generación y 500 gramos de cogollos de marihuana destinados al tráfico de drogas a pequeña escala.
Un enlace fraudulento y una llamada
La investigación se inició como consecuencia de las actividades de ciberinteligencia realizadas por la Unidad Central de Ciberdelincuencia, junto con investigadores de la Comisaría de San Fernando (Cádiz), tras detectar un patrón común en diferentes hechos ocurridos en todo el territorio nacional. Fruto de este análisis, de las vigilancias, seguimientos y diferentes medidas tecnológicas de investigación, se pudo comprobar la existencia de una organización criminal responsable de estos hechos.
El modus operandi de esta organización consistía en la realización de estafas bancarias a través del envío masivo de mensajes de texto (lo que se conoce como smishing) en los que se informaba a a las víctimas de que se había detectado una intromisión ilegítima a su banca online. El mensaje incluía un enlace que redirigía a una página web fraudulenta, de similar apariencia a la de la entidad bancaria y creada y controlada por los miembros de la trama para hacerse con los datos bancarios de la víctima. Desde el momento en el que las víctimas introducían sus credenciales de acceso a su banca online en la página falsa, sus datos quedaban automáticamente en poder de los cibercriminales.
Los autores de las estafas informáticas habían diseñado un software que les permitía ver en tiempo real los pasos que iban dando sus víctimas y, con el fin de restablecer la supuesta situación de riesgo de su cuenta y volver a operar con seguridad, los llamaban por teléfono haciéndose pasar por empleados de su banco y se ofrecían a ayudarles a solucionar esa brecha de seguridad. Para ello, les indicaban que iban a recibir en su terminal unos códigos de verificación que debían proporcionar telefónicamente a sus interlocutores. En realidad, esos códigos posibilitaban la materialización de las transacciones fraudulentas que los criminales estaban realizando en la banca online del perjudicado en tiempo real, generando una disposición no autorizada contra los activos de sus víctimas.
Cuando el dinero ingresaba en las cuentas bancarias controladas por la organización dedicada a las estafas informáticas, esta ponía en marcha diferentes procedimientos: extraer directamente el efectivo en cajeros automáticos, contratar créditos personales instantáneos, ordenar nuevas transferencias a otras cuentas que tenían bajo su control o adquirir criptovalores en cajeros automáticos al efecto.
Estafa a anunciantes de vehículos de motor
Los cibercriminales también obtuvieron datos utilizados para abrir fraudulentamente cuentas bancarias y recibir ahí el dinero estafado a través de páginas de compraventa de artículos entre particulares. Los delincuentes se ponían en contacto con anunciantes de vehículos a motor, mostrando su interés por hacerse con el vehículo de manera urgente, con un adelanto como reserva de la compra como prueba de buena voluntad. Con este pretexto, y para formalizar el contrato de compraventa a través de una supuesta gestoría, solicitaban a las víctimas una copia o fotografía del documento de identidad por ambas caras.
Una vez conseguidos los datos de filiación necesarios para la apertura de cuentas, volvían a victimizar a estas personas, ya que les explicaban que les iban a realizar un envío de dinero a través de Bizum, como señalización para la adquisición del vehículo. Sin embargo, en lugar de enviar un pago realizaban una solicitud de dinero al vendedor. Las víctimas no comprobaban adecuadamente el mensaje recibido desde la aplicación y aceptaban la solicitud realizando un envío de dinero a favor de los cibercriminales.