La Guardia Civil ha detenido en Madrid y Barcelona a 101 personas por estafar 1.100.000 euros mediante el envío de SMS masivos fraudulentos. Hasta el momento se han podido recuperar 383.000 euros del dinero robado y hay 350 víctimas identificadas.
El objetivo era provocar acciones fraudulentas que conllevaban el saqueo de importantes cantidades de dinero en sus cuentas. Para blanquear el dinero, contaban con una red de mulas que solían ser delincuentes ya investigados por hechos similares.
Esta macroperación contra los SMS fraudulentos que simulan ser de un banco se ha desarrollado durante todo este año y se ha extendido a otros países como Bélgica, Estonia, Francia, Italia, Lituania y Malta, donde los detenidos tenían cuentas bancarias con el dinero obtenido ilícitamente.
Las víctimas eran avisadas sobre cargos ilegales, accesos ilícitos a sus cuentas y otras operaciones de banca online. Una vez facilitaban el acceso a la banca online, pulsando los enlaces, estas personas autorizaban involuntariamente al delincuente a realizar transferencias y otros envíos de dinero.
Cuando el sistema de seguridad de la entidad bancaria les exigía confirmar la operación con un código de seguridad --vía SMS--, desde los grupos criminales entablaban conversación con los clientes haciéndose pasar por empleados bancarios reales, consiguiendo fácilmente los códigos de seguridad que validan la operación.
De este modo, la víctima creía estar corrigiendo o reparando fallos de seguridad detectados por el propio banco. Sin embargo, estaba facilitando rápidamente todos los datos que le solicitaban y autorizando involuntariamente la sustracción de su dinero.
Las comunicaciones de los delincuentes se solían realizar en horarios en los que no hay posibilidad de llamar a entidades bancarias abiertas, en muchas ocasiones durante la noche o en fin de semana.
La operación, denominada 'Paketokas', ha sido desarrollada por la Guardia Civil en Cantabria donde se habían recibido más de mil denuncias. Los detenidos están investigados por los delitos de estafa, pertenencia a organización criminal y blanqueo de capitales.
Las principales técnicas delictivas empleadas han sido, por un lado, el 'smishing', en el que los perjudicados reciben un SMS, supuestamente de la entidad bancaria de la que son clientes, donde les informan de una incidencia en su cuenta bancaria, adjuntando un enlace para su resolución. Las víctimas pinchan el enlace, son redirigidas a una página similar con la que no están familiarizadas y les solicitan una serie de datos, que realmente facilitan el acceso de los delincuentes a su banca online.
La otra técnica es el 'vishing', que consiste en llamar al perjudicado, haciéndose pasar por empleado de la entidad bancaria de la que es cliente, informando de que se está produciendo una incidencia en su cuenta bancaria y que va a recibir un SMS que debe facilitar al interlocutor para resolver la incidencia. Una vez facilitado el código recibido, por parte del perjudicado, permite autorizar la operación denunciada.
Para ganarse la confianza de las víctimas, utilizaban el 'spoofing', técnica que consiste en que la llamada telefónica se realiza desde un número enmascarado, que se presenta ante el receptor como procedente de la entidad bancaria de confianza.
