Además del menor de edad, que desarrollaba sus propias herramientas informáticas para la realización de las estafas y las revendía a otras tramas criminales, se ha detenido a 24 personas entre Cádiz, Málaga y Barcelona. Tenían en su poder datos personales de unos 100.000 clientes bancarios de todo el país preparados para su utilización.
A partir de una investigación iniciada en San Fernando como consecuencia de las actividades de ciberinteligencia realizadas por la Unidad Central de Ciberdelincuencia junto con a la Comisaría isleña, tras detectar un patrón común en diferentes hechos ocurridos en todo el territorio nacional, la Policía Nacional ha logrado desarticular una organización criminal dedicada a la comisión de estafas informáticas mediante técnicas de ingeniería social (tipo phishing, smishing y vishing). Se calcula que la red ha estafado a 200 personas en dos meses, y el valor de lo defraudado asciende a 350.000 euros.
Para más inri, el entramado estaba liderado por un menor de edad que, además de crear sus propias herramientas informáticas para la realización de las estafas (webs falsas de entidades bancarias o enlaces comprometidos para remitir por sms o email a las víctimas), las vendía a otras organizaciones criminales para que las explotasen, un fenómeno denominado ‘crime as a service’.
Así, según relatan desde la Policía en un comunicado remitido a DIARIO Bahía de Cádiz, suplantaron la imagen de 18 bancos diferentes, habiéndose intervenido listados con los datos privados de más de 100.000 clientes agrupados por entidades y preparados para su utilización. Llamaban a las víctimas, haciéndose pasar por empleados de su banco, y les solicitaban un código que posibilitaba a los detenidos la realización de transacciones fraudulentas a su favor.
Además del líder del grupo, que ha ingresado en un centro en régimen cerrado, se ha detenido a 24 personas en las provincias de Cádiz, Málaga y Barcelona, de las que ocho han entrado en prisión preventiva. En la explotación de la investigación se llevaron a cabo seis registros y se intervinieron dos armas de fuego simuladas, 10.000 euros, esos listados con datos personales de 100.000 personas, más de una treintena de terminales móviles de última generación y 500 gramos de cogollos de marihuana destinados al tráfico de drogas a pequeña escala.
El Ministerio del Interior aprovecha para incidir, junto a su campaña en marcha frente al incremento de la cibercriminalidad registrada en España, en que actualmente uno de cada cinco delitos se comete en la red.
UN PATRÓN COMÚN EN LAS ESTAFAS ALERTÓ A LA POLICÍA
La investigación (la operación Libélula) se inició tras detectarse un patrón común en diferentes hechos ocurridos en todo el Estado. Fruto de este análisis, de las vigilancias, seguimientos y diferentes medidas tecnológicas de investigación, se pudo comprobar la existencia de una organización criminal responsable de estos hechos.
El modus operandi consistía en la realización de estafas bancarias a través del envío masivo de mensajes de texto (conocido como ‘smishing’) en los que indican a las potenciales víctimas que han detectado una intromisión ilegítima a su banca online. El sms incluía un enlace que redirigía a una página web fraudulenta, de similar apariencia a la de la entidad bancaria, creada y controlada por la organización para hacerse con los datos bancarios. Ahí daba comienzo la dinámica de la estafa ya que, una vez que la persona recibía ese mensaje al móvil y se lo creía, e introducía sus credenciales de acceso a su banca online en la página falsa, estos datos quedaban automáticamente en poder de los cibercriminales.
Los estafadores habían diseñado un software que les permitía ver en tiempo real los pasos que iban dando sus víctimas y, con el fin de restablecer la supuesta situación de riesgo de su cuenta y volver a operar con seguridad, los llamaban por teléfono haciéndose pasar por empleados de su banco y se ofrecían a ayudarles a solucionar esa brecha de seguridad. Para ello les indicaban que iban a recibir en su terminal unos códigos de verificación que debían proporcionar telefónicamente a sus interlocutores. En realidad, esos códigos posibilitaban la materialización de las transacciones fraudulentas que los criminales estaban realizando en la banca online del perjudicado en tiempo real, generando una disposición no autorizada contra los activos de sus víctimas.
Cuando el dinero ingresaba en las cuentas controladas por la organización, llevaban a cabo diferentes formas de actuación. Una de ellas consistía en extraer directamente el efectivo en cajeros automáticos, o bien contrataban créditos personales instantáneos, ordenaban nuevas transferencias a otras cuentas que tenían bajo su control, o bien adquirían criptovalores en cajeros automáticos al efecto, moviéndolo posteriormente entre diferentes monederos fríos.
Y ESTAFAS A VENDEDORES PARTICULARES DE COCHES
Los datos empleados por los cibercriminales para abrir fraudulentamente cuentas bancarias y recibir ahí el dinero estafado, los conseguían a través de páginas de compraventa de artículos entre particulares.
Los delincuentes se ponían en contacto con anunciantes de vehículos, mostrando su interés en el mismo de manera urgente, con un adelanto como reserva de la compra y como prueba de buena voluntad. Con este pretexto, y para formalizar el contrato de compra/venta a través de una supuesta gestoría, solicitaban a las víctimas una copia o fotografía del documento de identidad por ambas caras.
Una vez con los datos de filiación necesarios para la apertura de cuentas, volvían a victimizar a estas personas ya que les explicaban que les iban a realizar un envío de dinero a través de Bizum como señalización para la adquisición del vehículo. Sin embargo, en lugar de enviar un pago realizaban una solicitud de dinero al vendedor. Las víctimas no comprobaban adecuadamente el mensaje recibido desde la aplicación y aceptaban la solicitud realizando un envío de dinero a favor de los cibercriminales.
