Un detenido en Valencia por robar datos de más de 4.000 tarjetas bancarias por smishing

Detenido un hombre de 25 años como autor de un delito de estafa tras obtener datos de más de 4.000 tarjetas bancarias.

Guardar

smishing
smishing

Agentes de la Policía Nacional han detenido en Valencia a un hombre de 25 años como presunto autor de un delito de estafa tras obtener, mediante el método conocido como smishing, datos de más de 4.000 tarjetas bancarias para comprar en diferentes comercios y retirar dinero en cajeros automáticos.

Las investigaciones se iniciaron en el mes de octubre cuando un establecimiento comercial informó a los agentes que un varón realizaba compras con distintas numeraciones de tarjetas de diferentes bancos españoles. Tras esta denuncia, los agentes comprobaron que a través de técnicas informáticas este robó información bancaria para operar con ellas.

Asimismo, los agentes averiguaron que el entramado delictivo se dividía en dos etapas diferenciadas. En un primer momento, tras adquirir un VPN tras el cual ocultaba su identidad, el detenido puso en práctica un fraude de phishing, para lo cual adquirió dominios con nombres similares a la Agencia Tributaria y a Correos con los que hizo creer a sus víctimas que operaba con las webs originales.

Así pues, los usuarios accedían a páginas fraudulentas como www.correo-pagar.com, www.agenciatributaria-es.com y www.agenciatributaria-es.online y, dentro de estos portales, insertó formularios para que las víctimas introdujesen los datos de sus tarjetas. De esta forma, logró información como el número de identificación, el PIN, el CVV y la fecha de caducidad.

Más de 170.000 mensajes a teléfonos haciéndose pasar por la Agencia Tributaria

En la segunda etapa de la trama, a través de la táctica del smishing, envió más de 170.000 mensajes a teléfonos españoles que simulaban proceder de la Agencia Tributaria, Correos y de diferentes entidades bancarias con el objetivo de llevar a engaño a sus víctimas. Así, la persona recibía el mensaje de texto que le hacía pensar que procedía de un sitio oficial, por lo que introducía sus datos con la finalidad de desbloquear una cuenta, pagar las aduanas de un paquete retenido de correos o liberar el pago de la declaración de la renta.

https://www.youtube.com/watch?v=eO5BIYJkleM
¿Qué es el smishing? Por el comandante Alberto Redondo, Jefe del Grupo de Delitos Tecnológicos de la Unidad Técnica de la Policía Judicial.

En el transcurso de las investigaciones, los agentes conocieron que el investigado usaba una aplicación de envío masivo de mensajes, al distribuirlos en gran número y en menos de un segundo, tal y como informa la Policía Nacional.

En concreto, 31.147 envíos simulaban ser la Agencia Tributaria y 140.345 Correos. Dentro del texto, el supuesto estafador mandaba el enlace del sitio web fraudulento para captar la información sensible de sus víctimas. Además, los agentes comprobaron que el sospechoso disponía de 431.000 números de teléfono  adquiridos en la Dark web, espacio de Internet donde se compran y venden productos ilegales mediante bitcoins.

Una vez tenía en su poder los datos bancarios de las víctimas volcaba la numeración de las tarjetas en una app de pago vía móvil, que a su vez estaba asociada a varios terminales de su propiedad. Finalmente, usaba los teléfonos móviles para realizar compras y extraer dinero de los cajeros de las correspondientes entidades bancarias de las víctimas.

El fraude pudo ser millonario

La rápida actuación policial evitó que el fraude llegase a ser millonario y con miles de personas afectadas. Tanto es así, que en menos de un mes obtuvo los datos de más de 4.000 tarjetas bancarias.

Según se desprende de las investigaciones, el estafador disponía de todos los recursos para desplegar el fraude por su cuenta y actuaba de forma solitaria, aunque los agentes conocieron que formaba parte de una comunidad virtual de la que obtenía consejos para delinquir sin ser descubierto.

Los policías registraron una habitación de un céntrico hotel de Valencia, que resultó ser el domicilio actual del supuesto autor. En este lugar, se intervinieron un total de 29 teléfonos, 56 tarjetas de prepago, 3.520 euros en efectivo, dos ordenadores portátiles y dos discos duros. El detenido, que carecía de antecedentes policiales, ha ingresado en prisión.