Agentes pertenecientes a la Policía Nacional han desarticulado una organización criminal que estafó a 146 víctimas en todo el territorio nacional mediante técnicas de phishing. La cantidad defraudada asciende a 443.600 euros). Los investigados suplantaban la identidad de una conocida entidad bancaria y obtenían las credenciales de sus víctimas mediante phishing para, posteriormente, realizar compras online, transferencias o pedir préstamos personales no autorizados. Por otra parte, el lucro económico era diseminado a través de cuentas bancarias de “mulas de dinero” captadas a través de páginas de contactos sentimentales.
Las primeras pesquisas se iniciaron a finales de 2018 cuando los agentes detectaron numerosas denuncias en toda España. Las denuncias las presentó la entidad bancaria afectada así como los particulares y estaban relacionadas con compras en comercios electrónicos, así com transferencias bancarias y petición de créditos personales no autorizados.
Los correos cebo se iban modificando durante los últimos cuatro años en perfecta coordinación con la operativa online que establecía en cada momento la entidad bancaria afectada por la estafa
Los investigados se valían de la imagen corporativa de una entidad bancaria y enviaban de forma masiva correos electrónicos falsos en su nombre, suplantando su identidad. El gancho era una supuesta alerta de seguridad que afectaba a sus tarjetas y cuentas bancarias. Las víctimas que recibían dicho correo pinchaban sobre el enlace o link que les facilitaban e introducían sus credenciales de banca online para solucionarlo. Sin embargo, los emails no habían sido remitidos por el banco y los links redirigían a páginas web falsas controladas por miembros de la organización. Además, los correos “cebo” eran modificados y actualizados convenientemente en función de las variantes que, sobre la operativa online, establecía la entidad bancaria afectada.
Mediante las credenciales obtenidas, los supuestos criminales detenidos accedían a la banca online de las víctimas y cambiaban el número de móvil registrado por el cliente legítimo por otro número controlado por ellos. De esta forma, los estafadores podían completar las compras o transferencias, superando el factor de verificación de seguridad establecido por la entidad. Asimismo, este modus operandi les permitía acceder a los datos bancarios de las víctimas, y recibir las Claves de Comercio Electrónico Seguro (CES) necesarias para finalizar operaciones, en la línea telefónica controlada por los miembros de la organización.
Los investigados accedían a las cuentas de las víctimas haciendo uso de líneas de Internet ubicadas en distintos países como España, Marruecos, Francia, EEUU, Mauritania y Alemania, utilizando redes virtuales privadas (VPN), con el objetivo de obstaculizar la localización exacta desde donde se ejecutaban las operaciones fraudulentas y se remitían los correos SPAM. Además, realizaban las compras a través de comercios electrónicos ubicados en países extranjeros, siendo Francia la localización más repetida. Según el comunicado remitido por la Policía Nacional "la complejidad de la investigación radica en que se trata de un delito trasfronterizo, donde las víctimas cuyos datos bancarios han sido comprometidos así como las entidades bancarias afectadas son de un país –en este caso España-, el comercio online que sufre el fraude es otro diferente, y el producto o servicio adquirido fraudulentamente se consume o entrega en un tercer país".
El lucro económico era diseminado a través de cuentas bancarias de las denominadas “mulas de dinero”, captadas en páginas de contactos sentimentales. Estas personas, engañadas por una supuesta pareja sentimental y siguiendo instrucciones de la organización, mandaban dinero a través de empresas money-transfer a Costa de Marfil, lo que permitía burlar los controles que establece ley.
El pasado mes de abril los agentes realizaron la última fase de explotación de la operación, que ha finalizado con la detención de 13 personas en A Coruña, Córdoba (5), Huelva, Madrid (2), Málaga, Murcia, Palma de Mallorca y Terrassa (Barcelona). Además, hay otras siete personas investigadas no detenidas en Bilbao, Córdoba, Madrid (2), Murcia, Pola de Siero (Asturias) y Sevilla.