Estafan casi medio millón de euros con una falsa alerta de seguridad bancaria

La Policía Nacional vuelve a alerta de los peligros del phishing al desvelar los datos de una operación que se ha saldado con 13 detenidos, 146 víctimas y casi medio millón de euros robado -443.600 euros-. Los investigados suplantaban la identidad de una conocida entidad bancaria y obtenían las credenciales de sus víctimas para realizar compras online, transferencias o pedir préstamos personales no autorizados. En su modus operandi enviaban de forma masiva correos electrónicos falsos suplantando la entidad de ese banco conteniendo un aviso sobre una supuesta “alerta de seguridad” que afectaba a sus tarjetas y cuentas bancarias. Las víctimas pinchaban sobre el enlace o link que les facilitaban e introducían sus credenciales de banca online para solucionarlo. Esos links redirigían a páginas web falsas controladas por miembros de la organización. Además, los correos “cebo” eran modificados y actualizados convenientemente en función de las variantes que, sobre la operativa online, establecía la entidad bancaria afectada.

Posteriormente, y haciendo uso de las credenciales obtenidas, los detenidos accedían a la banca online de las víctimas y cambiaban el número de móvil registrado por el cliente legítimo por otro número controlado por ellos. De esta forma, los estafadores podían completar las compras o transferencias, superando el factor de verificación de seguridad establecido por la entidad. Asimismo, este modus operandi les permitía acceder a los datos bancarios de las víctimas, y recibir las Claves de Comercio Electrónico Seguro (CES) necesarias para finalizar operaciones, en la línea telefónica controlada por los miembros de la organización.

La Dirección General de la Policía ha informado este miércoles de la finalización de la Operación París. La operativa se ha desarrollado en varias fases y ha concluido con la detección de 13 personas - 5 en Córdoba, 2 en Madrid y 1 en A Coruña, Huelva, Málaga, Murcia, Palma de Mallorca y Terrassa (Barcelona)-,el pasado mes de abril. Además, hay otras 7 personas investigadas que no han sido detenidas -2 en Madrid y 1 en Bilbao, Córdoba, Murcia, Pola de Siero (Asturias) y Sevilla.

Las primeras pesquisas se iniciaron a finales de 2018, cuando los agentes recibieron numerosas denuncias procedentes de todo el territorio nacional e interpuestas por particulares y por una entidad bancaria. Todos ellos manifestaban haber percibido operaciones fraudulentas como compras en comercios en red, así como transferencias bancarias y peticiones de créditos que aseguraban no haber realizado.

Los investigados accedían a las cuentas de las víctimas haciendo uso de líneas de Internet ubicadas en distintos países como España, Marruecos, Francia, EEUU, Mauritania y Alemania, utilizando redes virtuales privadas (VPN), con el objetivo de obstaculizar la localización exacta desde donde se ejecutaban las operaciones fraudulentas y se remitían los correos SPAM. Además, realizaban las compras a través de comercios electrónicos ubicados en países extranjeros, siendo Francia la localización más repetida.

La complejidad de la investigación radica en que se trata de un delito trasfronterizo, donde las víctimas cuyos datos bancarios han sido comprometidos así como las entidades bancarias afectadas son de un país –en este caso España-, el comercio online que sufre el fraude es otro diferente, y el producto o servicio adquirido fraudulentamente se consume o entrega en un tercer país.

El lucro económico era diseminado a través de cuentas bancarias de las denominadas “mulas de dinero”, captadas en páginas de contactos sentimentales. Estas personas, engañadas por una supuesta pareja sentimental y siguiendo instrucciones de la organización, enviaban dinero a través de empresas money-transfer a Costa de Marfil, lo que permitía burlar los controles que establece ley.