Agentes de la Policía Nacional han desarticulado una organización criminal, liderada por un menor, que ha estafado 350.000 euros y ha obtenido los datos bancarios de más de 100.000 clientes de banca online de toda España.
El menor líder del grupo ha ingresado en un centro en régimen cerrado, mientras se ha detenido a 24 personas vinculadas con la organización en Cádiz, Málaga y Barcelona, de las que ocho han entrado en prisión, según ha informado la Policía Nacional en un comunicado.
La organización criminal se dedicaba a la comisión de estafas informáticas mediante técnicas de ingeniería social tipo phishing, smishing y vishing. El menor se encargaba de crear sus propias herramientas informáticas para la realización de las estafas, webs falsas de entidades bancarias o enlaces comprometidos para remitir por sms o email a las víctimas, y las vendía a otras organizaciones criminales para que las explotasen, un fenómeno denominado crime as a service.
Así, la organización estafó unos 350.000 euros a 200 personas en dos meses y, suplantando la imagen de 18 entidades bancarias diferentes mediante llamadas telefónicas, obtuvo los datos bancarios -nombres, DNI y claves de acceso a la banca privada- de 100.000 clientes.
Ciberestafa y datos bancarios
La investigación, que además de con los detenidos ha resultado en seis registros en los que se han intervenido dos armas de fuego simuladas, 10.000 euros, listados con los datos personales de 100.000 personas, más de una treintena de terminales móviles de última generación y 500 gramos de cogollos de marihuana destinados al tráfico de drogas, se inició al detectar la Unidad Central de Ciberdelincuencia e investigadores de la Comisaría de San Fernando (Cádiz) un patrón común en actividades de ciberinteligencia en diferentes hechos ocurridos en toda España.
Tras este análisis, vigilancias, seguimientos y diferentes medidas tecnológicas de investigación, los investigadores comprobaron la existencia de una organización criminal responsable de estos hechos.
‘Modus operandi’
En concreto, el modus operandi de esta organización consistía en la realización de estafas bancarias a través del envío masivo de mensajes de texto, lo que se conoce como smishing. El sms incluía un enlace que redirigía a una página web fraudulenta, de similar apariencia a la de la entidad bancaria, creada y controlada por la organización para hacerse con los datos bancarios de la víctima.
Ahí daba comienzo la dinámica de la estafa ya que, una vez que las víctimas introducían sus credenciales de acceso a su banca online en la página falsa, estos datos quedaban automáticamente en poder de los cibercriminales.
Además, los estafadores habían diseñado un software que les permitía ver en tiempo real los pasos que iban dando sus víctimas y, con el fin de restablecer la supuesta situación de riesgo de su cuenta y volver a operar con seguridad, los llamaban por teléfono haciéndose pasar por empleados de su banco y se ofrecían a ayudarles a solucionar esa brecha de seguridad.
Para ello les indicaban que iban a recibir en su terminal unos códigos de verificación que debían proporcionar telefónicamente a sus interlocutores. En realidad, esos códigos posibilitaban la materialización de las transacciones fraudulentas que los criminales estaban realizando en la banca online del perjudicado en tiempo real, generando una disposición no autorizada contra los activos de sus víctimas.
Estafa a anunciantes de vehículos
De este modo, cuando el dinero ingresaba en las cuentas bancarias controladas por la organización, llevaban a cabo diferentes formas de actuación, como extraer directamente el efectivo en cajeros automáticos o contratar créditos personales instantáneos. Asimismo, ordenaban nuevas transferencias a otras cuentas que tenían bajo su control o adquirían criptovalores en cajeros automáticos al efecto.
Los datos empleados por los cibercriminales para abrir fraudulentamente cuentas bancarias y recibir ahí el dinero estafado, los conseguían a través de páginas de compraventa de artículos entre particulares, según ha detallado la Policía.
Los delincuentes se ponían en contacto con anunciantes de vehículos a motor, mostrando su interés por hacerse con el vehículo de manera urgente un adelanto como reserva de la compra. Con este pretexto, y para formalizar el contrato de compra/venta a través de una supuesta gestoría, solicitaban a las víctimas una copia o fotografía del documento de identidad por ambas caras.
Una vez con los datos de filiación necesarios para la apertura de cuentas, volvían a victimizar a estas personas ya que les explicaban que les iban a realizar un envío de dinero a través de Bizum como señalización para la adquisición del vehículo.
Sin embargo, en lugar de enviar un pago realizaban una solicitud de dinero al vendedor. Las víctimas no comprobaban adecuadamente el mensaje recibido desde la aplicación y aceptaban la solicitud realizando un envío de dinero a favor de los cibercriminales.