La Guardia Civil ha detenido en Barcelona a seis personas pertenecientes a una organización criminal que habría estafado más de 3 millones de euros a clientes de banca electrónica, mediante la difusión masiva de mensajes SMS que contenían un enlace de acceso a una web fraudulenta de banca online. Estas detenciones se suman a las nueve practicadas durante la primera fase de la operación en las provincias de Toledo, Ciudad Real, Badajoz, Murcia y Valencia.
La operación se inició en agosto de 2022 cuando la Guardia Civil recibió la denuncia de dos personas que manifestaban no haber autorizado las transferencias bancarias en sus cuentas. En esta primera fase de la operación, los agentes desarticularon el entramado económico de la organización criminal, cuyo método era hacer circular el dinero por diferentes cuentas internacionales hasta hacerlo desparecer en carteras privadas de moneda virtual (criptomonedas). Posteriormente, la investigación se centró en los responsables, quienes disponían de los medios y conocimientos técnicos para el lanzamiento masivo de los SMS maliciosos y para la suplantación de las líneas telefónicas utilizadas para cometer las estafas. Además, tenían el control del dinero transferido ilícitamente a las cuentas bancarias.
‘SMS spoofing’ y ‘Caller ID spoofing’
Los clientes recibían masivamente mensajes SMS, suplantando al banco como remitente de los mismos, mediante la técnica conocida como ‘SMS spoofing’. En ellos se les alertaba de un acceso no autorizado a sus cuentas y se les requería la verificación inmediata a través de un enlace que les direccionaba a una página web, idéntica a la de su banco, que era controlada por los ciberdelincuentes para apoderarse de los datos de acceso a las cuentas bancarias.
Como los delincuentes necesitaban los códigos de seguridad que el banco envía al móvil del titular de la cuenta para autorizar cada operación, la organización utilizaba una novedosa técnica denominada ‘Caller ID spoofing’. De esta manera, lograban suplantar el número de teléfono de la sucursal, llamando a los perjudicados, a quienes alertaban de las operaciones fraudulentas en su cuenta y les solicitaban los códigos de seguridad que acababan de recibir por SMS para la anulación de dichas operaciones, consiguiendo así consumar la estafa.
Hijo y móvil perdido
Además de estas estafas bancarias, el grupo también lanzaba campañas de SMS en las que enviaban un enlace de Whatsapp a las posibles víctimas indicándoles que eran sus hijos y que habían perdido el móvil y que necesitaban contactarles a través de dicho enlace. Posteriormente, los ciberdelincuentes solicitaban a las víctimas una transferencia de dinero a una cuenta controlada por ellos.
Consejos para evitar ser víctimas de estas estafas
Ante la proliferación de este tipo de casos, la Guardia Civil recuerda algunas recomendaciones para evitar ser víctimas de estas estafas:
- No facilitar nunca datos personales o bancarios vía telefónica o a través de SMS. Las entidades bancarias nunca solicitarán información personal por estos medios.
- Si tiene sospecha de que una llamada puede ser fraudulenta, cuelgue inmediatamente y llame a su entidad bancaria (atención al cliente o la sucursal habitual).
- No facilitar nunca contraseñas por teléfono. Las entidades bancarias nunca solicitarán este tipo de información por este medio.
- Utilizar siempre las aplicaciones oficiales de las entidades bancarias. Nunca acceder a la banca online a través de enlaces contenidos en SMS o correos electrónicos.
Además, la Guardia Civil recomienda a la ciudadanía, la descarga de la aplicación ‘Alertcops’, para ponerse en contacto en caso de emergencia con los Centros Operativos de las Fuerzas y Cuerpos de Seguridad Del Estado.
