Nunha investigación pioneira da Policía Nacional contra unha armazón de ciberdelincuentes que operaba desde España

Detido un menor que creou o seu propio crime as a service co que estafaron máis de 350.000 euros a clientes de banca en liña

Obtiñan datos das súas vítimas mediante técnicas de enxeñaría social –phishing, smishing e vishing- e chamábanas facéndose pasar por empregados de entidades bancarias, para liquidar unha suposta brecha de seguridade

O menor, ademais de crear as súas propias ferramentas informáticas para a realización de estáfalas -webs falsas de entidades bancarias ou ligazóns comprometidas para remitir por sms ou e-mail ás vítimas- vendíaas a outras organizacións criminais para que as explotasen

Suplantaron a imaxe de 18 entidades bancarias diferentes, intervíndose listaxes cos datos privados -nomees apelidos, DNI, claves de acceso á banca privada- de máis de 100.000 clientes bancarios preparados para a súa utilización

Para recibir o diñeiro estafado abrían contas bancarias fraudulentas con datos de persoas obtidos a través de páxinas de compravenda de artigos entre particulares, aos que embaucaban para que lles enviasen unha copia do seu DNI co pretexto de formalizar a compra

Detívose tamén a 24 persoas en Cádiz, Málaga e Barcelona, das que oito entraron en prisión

26/02/23

Axentes da Policía Nacional han desarticulado unha organización criminal dedicada á comisión de estafas informáticas mediante técnicas de enxeñaría social tipo phishing, smishing e vishing, que operaba en todo o territorio nacional. Os membros da rede estafaron a 200 persoas en dous meses e o valor do defraudado ascende a 350.000 euros. A armazón estaba liderado por un menor que, ademais de crear as súas propias ferramentas informáticas para a realización de estáfalas -webs falsas de entidades bancarias ou ligazóns comprometidas para remitir por sms ou e-mail ás vítimas- vendíaas a outras organizacións criminais para que as explotasen, un fenómeno denominado crime as a service.

Suplantaron a imaxe de 18 entidades bancarias diferentes, intervíndose listaxes cos datos privados -nomees apelidos, DNI, claves de acceso á banca privada- de máis de 100.000 clientes bancarios agrupados por entidades e preparados para a súa utilización. Chamaban ás vítimas, facéndose pasar por empregados de entidades bancarias, para liquidar unha suposta brecha de seguridade e solicitábanlles un código que posibilitaba aos detidos a realización de transaccións fraudulentas ao seu favor.

Ademais do líder do grupo, que ingresou nun centro en réxime pechado, detívose a 24 persoas en Cádiz, Málaga e Barcelona, das que oito entraron en prisión. Realizáronse seis rexistros nos que se interviñeron dous armas de fogo simuladas, 10.000 euros, listaxes cos datos persoais de 100.000 persoas, máis dunha trintena de terminais móbiles de última xeración e 500 gramos de cogollos de marihuana destinados ao tráfico de drogas a pequena escala.

Unha ligazón fraudulenta e unha chamada daban comezo á fraude

A investigación iniciouse como consecuencia das actividades de ciberinteligencia realizadas pola Unidade Central de Ciberdelincuencia xunto con investigadores da Comisaría de San Fernando (Cádiz) tras detectar un patrón común en diferentes feitos ocorridos en todo o territorio nacional. Froito desta análise, das vixilancias, seguimentos e diferentes medidas tecnolóxicas de investigación, púidose comprobar a existencia dunha organización criminal responsable destes feitos.

O modus operandi desta organización consistía na realización de estafas bancarias a través do envío masivo de mensaxes de texto –o que se coñece como smishing- nos que indican ás vítimas que detectaron unha intromisión ilexítima á súa banca en liña. O sms incluía unha ligazón que redirixía a unha páxina web fraudulenta, de similar aparencia á da entidade bancaria, creada e controlada pola organización para facerse cos datos bancarios da vítima. Aí daba comezo a dinámica da estafa xa que, unha vez que as vítimas introducían as súas credenciais de acceso á súa banca en liña na páxina falsa, estes datos quedaban automaticamente en poder dos cibercriminales.

Os estafadores deseñaran un software que lles permitía ver en tempo real os pasos que ían dando as súas vítimas e, co fin de restablecer a suposta situación de risco da súa conta e volver operar con seguridade, chamábanos por teléfono facéndose pasar por empregados do seu banco e ofrecíanse a axudarlles a solucionar esa brecha de seguridade. Para iso indicábanlles que ían recibir no seu terminal uns códigos de verificación que debían proporcionar telefonicamente aos seus interlocutores. En realidade, eses códigos posibilitaban a materialización das transaccións fraudulentas que os criminais estaban a realizar na banca en liña do prexudicado en tempo real, xerando unha disposición non autorizada contra os activos das súas vítimas.

Cando o diñeiro ingresaba nas contas bancarias controladas pola organización, levaban a cabo diferentes formas de actuación. Unha delas consistía en extraer directamente o efectivo en caixeiros automáticos, ou ben contrataban créditos persoais instantáneos, ordenaban novas transferencias a outras contas que tiñan baixo o seu control, ou ben adquirían criptovalores en caixeiros automáticos para o efecto, movéndoo posteriormente entre diferentes moedeiros fríos.

Estafa a anunciantes de vehículos de motor

Os datos empregados polos cibercriminales para abrir fraudulentamente contas bancarias e recibir aí o diñeiro estafado, conseguíanos a través de páxinas de compravenda de artigos entre particulares. Os delincuentes púñanse en contacto con anunciantes de vehículos a motor, mostrando o seu interese por facerse co vehículo de maneira urxente un adianto como reserva da compra e como proba de boa vontade. Con este pretexto, e para formalizar o contrato de compra/venda a través dunha suposta xestoría, solicitaban ás vítimas unha copia ou fotografía do documento de identidade por ambas as caras.

Unha vez cos datos de filiación necesarios para a apertura de contas, volvían a victimizar a estas persoas xa que lles explicaban que lles ían a realizar un envío de diñeiro a través de Bizum como sinalización para a adquisición do vehículo. Con todo, en lugar de enviar un pago realizaban unha solicitude de diñeiro ao vendedor. As vítimas non comprobaban adecuadamente a mensaxe recibida desde a aplicación e aceptaban a solicitude realizando un envío de diñeiro a favor dos cibercriminales.

#UnoDeCadaCincoDelitos: a campaña do Ministerio do Interior contra a ciberdelincuencia

O Ministerio do Interior puxo en marcha unha campaña para facer fronte ao incremento da cibercriminalidad rexistrada en España. Hoxe, un de cada cinco delitos en España cométese na rede.

En 2022 producíronse un total 375.506 ciberdelitos, un 72% máis que os rexistrados en 2019, incremento que se eleva ata o 352% se a comparación realízase respecto de 2015.

O obxectivo desta campaña é a concienciación e sensibilización cidadá sobre os tipos de ciberdelitos máis comúns, apelando á necesidade de autoprotección, xerar unha predisposición a denunciar, e incrementar a confianza cidadá nas Forzas e Corpos de Seguridade do Estado como primeiro instrumento público de loita contra a cibercriminalidad. Para iso, creouse a seguinte páxina web https://unodecadacincodelitos.com/ .


Consellos para evitar ser vítimas destas fraudes

- Desconfía de chamadas de números descoñecidos e nunca facilites datos persoais ou bancarios vía telefónica ou por SMS. A túa entidade bancaria nunca solicitarache información persoal por estes medios.

- Se sospeitas que unha chamada pode ser fraudulenta colga directamente o teléfono e chama á túa entidade bancaria directamente ao número oficial ou co que habitualmente contactes.

- Nunca facilites contrasinais por teléfono. Se dinche que che chaman desde unha entidade ou empresa, toma nota da incidencia e ponche directamente en contacto con eles a través dalgún número oficial.

- Se recibes mensaxes a través do correo electrónico ou SMS nos que che piden que pulses unha ligazón para realizar un pago ou actualizar os teus datos, ignora a mensaxe, bloquea ao seu destinatario e pono na bandexa de correo non desexado.

- Sei moi coidadoso á hora de recibir Bizum, poderías estar a aceptar unha solicitude de envío de diñeiro no canto de recibilo.

- Desde os nosos perfís oficiais nas redes sociais da Policía Nacional (@policia en Twitter e TikTok, @policianacional en Instagram e Facebook) habitualmente ofrecemos consellos de seguridade para evitar ser vítimas deste tipo de estafas en liña e informamos as fraudes máis recentes e habituais.