En una investigació pionera de la Policia Nacional contra un entramat de ciberdelinqüents que operava des d'Espanya

Detingut un menor que va crear el seu propi crime as a service amb el qual van estafar més de 350.000 euros a clients de banca online

Obtenien dades de les seues víctimes mitjançant tècniques d'enginyeria social –phishing, smishing i vishing- i les cridaven fent-se passar per empleats d'entitats bancàries, per a solucionar una suposada bretxa de seguretat

El menor, a més de crear les seues pròpies ferramentes informàtiques per a la realització de les estafes -webs falses d'entitats bancàries o enllaços compromesos per a remetre per sms o email a les víctimes- les venia a altres organitzacions criminals perquè les explotaren

Van suplantar la imatge de 18 entitats bancàries diferents, havent-se intervenut llistats amb les dades privades -nomenes cognoms, DNI, claus d'accés a la banca privada- de més de 100.000 clients bancaris preparats per a la seua utilització

Per a rebre els diners estafats obrien comptes bancaris fraudulents amb dades de persones obtinguts a través de pàgines de compravenda d'articles entre particulars, als quals embabucaven perquè els enviaren una còpia del seu DNI amb el pretext de formalitzar la compra

S'ha detingut també a 24 persones a Cadis, Màlaga i Barcelona, de les quals huit han entrat a la presó

26/02/23

Agents de la Policia Nacional han desarticulat una organització criminal dedicada a la comissió d'estafes informàtiques mitjançant tècniques d'enginyeria social tipus phishing, smishing i vishing, que operava en tot el territori nacional. Els membres de la xarxa van estafar a 200 persones en dos mesos i el valor del defraudat ascendix a 350.000 euros. L'entramat estava liderat per un menor que, a més de crear les seues pròpies ferramentes informàtiques per a la realització de les estafes -webs falses d'entitats bancàries o enllaços compromesos per a remetre per sms o email a les víctimes- les venia a altres organitzacions criminals perquè les explotaren, un fenomen denominat crime as a service.

Van suplantar la imatge de 18 entitats bancàries diferents, havent-se intervenut llistats amb les dades privades -nomenes cognoms, DNI, claus d'accés a la banca privada- de més de 100.000 clients bancaris agrupats per entitats i preparats per a la seua utilització. Cridaven a les víctimes, fent-se passar per empleats d'entitats bancàries, per a solucionar una suposada bretxa de seguretat i els sol·licitaven un codi que possibilitava als detinguts la realització de transaccions fraudulentes al seu favor.

A més del líder del grup, que ha ingressat en un centre en règim tancat, s'ha detingut a 24 persones a Cadis, Màlaga i Barcelona, de les quals huit han entrat a la presó. S'han realitzat sis registres en els quals s'han intervenut dos armes de foc simulades, 10.000 euros, llistats amb les dades personals de 100.000 persones, més d'una trentena de terminals mòbils d'última generació i 500 grams de cogollos de marihuana destinats al trànsit de drogues a petita escala.

Un enllaç fraudulent i una telefonada començaven al frau

La investigació es va iniciar com a conseqüència de les activitats de ciberinteligencia realitzades per la Unitat Central de Ciberdelinqüència juntament amb investigadors de la Comissaria de Sant Fernando (Cadis) després de detectar un patró comú en diferents fets ocorreguts en tot el territori nacional. Fruit d'esta anàlisi, de les vigilàncies, seguiments i diferents mesures tecnològiques d'investigació, es va poder comprovar l'existència d'una organització criminal responsable d'estos fets.

El modus operandi d'esta organització consistia en la realització d'estafes bancàries a través de l'enviament massiu de missatges de text –el que es coneix com smishing- en els quals indiquen a les víctimes que han detectat una intromissió il·legítima a la seua banca online. El sms incloïa un enllaç que redirigia a una pàgina web fraudulenta, de similar aparença a la de l'entitat bancària, creada i controlada per l'organització per a fer-se amb les dades bancàries de la víctima. Ací començava la dinàmica de l'estafa ja que, una vegada que les víctimes introduïen les seues credencials d'accés a la seua banca online en la pàgina falsa, estes dades quedaven automàticament en poder dels cibercriminales.

Els estafadors havien dissenyat un programari que els permetia veure en temps real els passos que anaven donant les seues víctimes i, amb la finalitat de restablir la suposada situació de risc del seu compte i tornar a operar amb seguretat, els cridaven per telèfon fent-se passar per empleats del seu banc i s'oferien a ajudar-los a solucionar eixa bretxa de seguretat. Per a açò els indicaven que anaven a rebre en la seua terminal uns codis de verificació que havien de proporcionar telefònicament als seus interlocutors. En realitat, eixos codis possibilitaven la materialització de les transaccions fraudulentes que els criminals estaven realitzant en la banca online del perjudicat en temps real, generant una disposició no autoritzada contra els actius de les seues víctimes.

Quan els diners ingressava en els comptes bancaris controlats per l'organització, duien a terme diferents formes d'actuació. Una d'elles consistia a extraure directament l'efectiu en caixers automàtics, o bé contractaven crèdits personals instantanis, ordenaven noves transferències a altres comptes que tenien baix el seu control, o bé adquirien criptovalores en caixers automàtics a este efecte, movent-ho posteriorment entre diferents moneders freds.

Estafa a anunciants de vehicles de motor

Les dades emprades pels cibercriminales per a obrir fraudulentament comptes bancaris i rebre ací els diners estafats, els aconseguien a través de pàgines de compravenda d'articles entre particulars. Els delinqüents es posaven en contacte amb anunciants de vehicles a motor, mostrant el seu interés per fer-se amb el vehicle de manera urgent un avançament com a reserva de la compra i com a prova de bona voluntat. Amb este pretext, i per a formalitzar el contracte de compra/venda a través d'una suposada gestoria, sol·licitaven a les víctimes una còpia o fotografia del document d'identitat per les dos cares.

Una vegada amb les dades de filiació necessaris per a l'obertura de comptes, tornaven a victimizar a estes persones ja que els explicaven que els anaven a realitzar un enviament de diners a través de Bizum com a senyalització per a l'adquisició del vehicle. No obstant açò, en lloc d'enviar un pagament realitzaven una sol·licitud de diners al venedor. Les víctimes no comprovaven adequadament el missatge rebut des de l'aplicació i acceptaven la sol·licitud realitzant un enviament de diners a favor dels cibercriminales.

#UnoDeCadaCincoDelitos: la campanya del Ministeri de l'Interior contra la ciberdelinqüència

El Ministeri de l'Interior ha posat en marxa una campanya per a fer front a l'increment de la cibercriminalidad registrada a Espanya. Hui, un de cada cinc delictes a Espanya es comet en la xarxa.

En 2022 es van produir un total 375.506 ciberdelitos, un 72% més que els registrats en 2019, increment que s'eleva fins al 352% si la comparació es realitza respecte a 2015.

L'objectiu d'esta campanya és la conscienciació i sensibilització ciutadana sobre els tipus de ciberdelitos més comuns, apel·lant a la necessitat d'autoprotecció, generar una predisposició a denunciar, i incrementar la confiança ciutadana en les Forces i Cossos de Seguretat de l'Estat com a primer instrument públic de lluita contra la cibercriminalidad. Per a açò, s'ha creat la següent pàgina web https://unodecadacincodelitos.com/ .


Consells per a evitar ser víctimes d'estos fraus

- Desconfia de telefonades de nombres desconeguts i mai facilites dades personals o bancaris via telefònica o per SMS. La teua entitat bancària mai et sol·licitarà informació personal per estos mitjans.

- Si sospites que una telefonada pot ser fraudulenta penja directament el telèfon i flama a la teua entitat bancària directament al nombre oficial o amb el qual habitualment contactes.

- Mai facilites contrasenyes per telèfon. Si et diuen que et criden des d'una entitat o empresa, pren nota de la incidència i posa't directament en contacte amb ells a través d'algun nombre oficial.

- Si reps missatges a través del correu electrònic o SMS en els quals et demanen que polses un link per a realitzar un pagament o actualitzar les teues dades, ignora el missatge, bloqueja al seu destinatari i posa-ho en la safata de correu no desitjat.

- Sigues molt acurat a l'hora de rebre Bizum, podries estar acceptant una sol·licitud d'enviament de diners en comptes de rebre-ho.

- Des dels nostres perfils oficials en les xarxes socials de la Policia Nacional (@policia en Twitter i TikTok, @policianacional en Instagram i Facebook) habitualment oferim consells de seguretat per a evitar ser víctimes d'este tipus d'estafes online i informem dels fraus més recents i habituals.