La Guardia Civil desarticula una red dedicada a cometer estafas por Internet

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

La Guardia Civil, en el marco de la operación AGUAS VIVAS, ha desarticulado una organización delictiva dedicada a cometer estafas a través de Internet. A través de un software malicioso, instalado en el ordenador de la víctima por la técnica conocida como “email spoofing”, habrían conseguido desviar a sus cuentas grandes cantidades de dinero.

Se ha detenido a 16 personas en Ribeira (A Coruña), Madrid, Parla y Móstoles (Madrid), Seseña (Toledo),  Villafranca de los barros (Badajoz) y Aranda de Duero (Burgos) por los presuntos delitos de estafa y pertenencia a organización criminal. Con la operación, se han esclarecido 20 delitos de estafa, por un importe total defraudado de 276.470 euros, de los cuales han podido ser recuperados 87.000 euros.

También se han realizado dos registros en Madrid, en los que han intervenido gran cantidad de documentación, dispositivos móviles y equipos informáticos. 

La técnica del “email spoofing” consiste en el envío fraudulento de correos electrónicos en los que los atacantes ocultaban la verdadera dirección del remitente, sustituyéndola por otra, aparentemente, legítima, logrando así suplantar la identidad de organismos estatales como la Agencia Tributaria, Hacienda, Correos o la DGT.

Las víctimas,cuando accedían al enlace que contenía el email, en realidad estaban accediendo a una dirección o página web desde la que, en segundo plano, era descargado e instalado el programa malicioso. Una vez instalado en el ordenador, sin que el usuario se diera cuenta, permanecía latente a la espera de ser activado en el momento en que el usuario accediera a cualquier página web de un banco, ejecutando una transacción bancaria. En ese momento el software malicioso realizaba una interceptación y modificación de los datos emitidos, consiguiendo que las cuentas beneficiarias del dinero fueran un total de 30 cuentas bancarias pertenecientes a la red. Tras ello, el dinero era diversificado mediante su envío a otras cuentas, o mediante extracción de efectivo en cajeros, transferencias por Bizum, tarjetas Revolut, etc., con el fin de dificultar la posible investigación policial.

Una característica en la que coincidían todas la víctimas es que, una vez que realizaban cualquier operación bancaria a través de la web, sus ordenadores se reiniciaban varias veces hasta bloquearse el acceso, comprobando más tarde que se habían realizado transferencias de grandes cantidades de dinero a cuentas de desconocidos.

Los investigadores, en colaboración con el Departamento de Informática de la Diputación Provincial de Cáceres, detectaron una actividad sospechosa en al menos 68 cuentas de correo electrónico pertenecientes a organismos oficiales, los cuales estaban infectados con los troyanos “Mekotio” y “Grandoreiro”, y que permanecían a la espera de consumar las transferencia fraudulentas. Los agentes han conseguido bloquear tentativas de transferencias por un importe de 3.500.000 euros, después de analizar más de 1.800 correos electrónicos.

La organización estaba perfectamente estructurada y jerarquizada, en cuatro niveles. Por un lado se hallaban los que se dedicaban a recibir las cantidades de las transferencias fraudulentas (Nivel 1), que posteriormente transferían a otros miembros de la organización (Nivel 2). Por otro lado, se encontraban los que transferían el dinero a otras cuentas ubicadas en el extranjero (Nivel 3) y, finalmente, los que se dedicaban a enmascarar la operativa online de las cuentas (Nivel 4).

La operación, dirigida por el Juzgado de Primera Instancia e Instrucción nº. 1 de Cáceres, ha sido llevada a cabo por agentes pertenecientes al Equipo de Delitos Tecnológicos (EDITE) de la Unidad Orgánica de Policía Judicial (UOPJ) de la Comandancia de Cáceres.