Cae en Valencia una banda que estafaba enviando whatsapp a sus víctimas fingiendo ser su hijo y haberse quedado sin móvil

La Guardia Civil ha detenido a seis personas acusadas de estafar más de tres millones de euros a clientes de banca online mediante la difusión masiva de mensajes SMS. Estas se suman a los nueve arrestos realizados durante la primera fase de la operación que se ha desarrollado en Toledo, Ciudad Real, Badajoz, Murcia y Valencia.

Entre las estafas perpetradas por esta banda se encontraba una en la que enviaban un enlace de Whatsapp a las posibles víctimas indicándoles que eran sus hijos, que habían perdido el móvil y que necesitaban contactarles a través de dicho enlace. Posteriormente, los ciberdelincuentes solicitaban a las víctimas una transferencia de dinero a una cuenta controlada por ellos.

Cómo empezó la investigación

La operación policial se inició en agosto de 2022, cuando la Guardia Civil recibió la denuncia de dos personas, residentes en las localidades de Vitigudino y Babilafuente (Salamanca), manifestando no haber autorizado la realización de transferencias bancarias en sus cuentas.

A partir de ahí se constataron 80 denuncias solo en la provincia de Salamanca y más de 1.200 perjudicados en otras localidades del territorio nacional como Dos Hermanas (Sevilla), Elx, Lugo de Llanera (Asturias), Linares (Jaén), A Estrada (Pontevedra), Las Rozas, Torrejón de Ardoz Colmenar Viejo (Madrid) y Haro (La Rioja).

Durante la primera fase de la operación, según fuentes de la Guardia Civil, los agentes desarticularon el entramado económico de la organización, cuyo método era hacer circular el dinero por diferentes cuentas internacionales hasta hacerlo desaparecer en carteras privadas de moneda virtual (criptomoneda), denominadas 'Wallet'.

Posteriormente, la investigación se centró en los máximos responsables de la banda criminal, entre los que se encontraban los autores materiales de las estafas y que conformaban la estructura tecnológica de la organización. Estos disponían de los medios y los conocimientos técnicos necesarios para el lanzamiento masivo de los SMS maliciosos y para la suplantación de las líneas telefónicas utilizadas para cometer las estafas.

Además, tenían el control del dinero transferido ilícitamente a las cuentas bancarias por el que circulaba el mismo hasta las carteras privadas de moneda virtual.

Técnica Spoofing

Concretamente, los clientes recibían masivamente mensajes SMS en los que suplantaban al banco, una técnica conocida como "SMS Spoofing". En estos mensajes se les alertaba de un acceso no autorizado a sus cuentas y se les requería la verificación inmediata de dichas operaciones a través de un enlace de acceso que les direccionaba a una página web, idéntica a la de su banco, que era controlada por los ciberdelincuentes para apoderarse de los datos de acceso a las cuentas bancarias.

Como los delincuentes necesitaban los códigos de seguridad que el banco envía al móvil del titular de la cuenta para autorizar cada operación, la organización utilizaba una novedosa técnica denominada "Caller ID Spoofing", a través de la cual lograban suplantar el número de teléfono real de la sucursal bancaria, llamando a los perjudicados, a quienes alertaban de las operaciones fraudulentas en su cuenta, y les solicitaban los códigos de seguridad que acababan de recibir por SMS para la anulación de dichas operaciones, consiguiendo así culminar el engaño y consumar la estafa.

Cuando los ciberdelincuentes no conseguían consumar los Smishing suplantaban a las víctimas a través de llamada de voz a las entidades bancarias para realizar transferencias de dinero, en otra modalidad delictiva conocida por "Vishing", en la que el medio utilizado para el engaño es la llamada telefónica de voz.

Además de estas estafas bancarias, dicho grupo también lanzaba campañas de SMS en las que enviaban un enlace de Whatsapp a las posibles víctimas indicándoles que eran sus hijos y que habían perdido el móvil y que necesitaban contactares a través de dicho enlace. Posteriormente, los ciberdelincuentes solicitaban a las víctimas una transferencia de dinero a una cuenta controlada por ellos.

Entre los consejos que dan desde la Guardia Civil para evitar ser víctima de este tipo de estafas está no facilitar nunca datos personales, contraseñas o bancarios por vía telefónica o a través de SMS y utilizar siempre las aplicaciones oficiales.