Nueva operación contra una organización que realizaba ataques “Man in the browser”

Recomendados.... » Tendencias TI 2023 y factores que influirán en su despliegue  Webinar » Administración Pública Digital: progreso y vanguardia On Demand » Digitalización y seguridad, motor de innovación del sector financiero  Informe

En el marco de la operación “Sangil”, la Guardia Civil ha desarticulado una organización criminal de ciberdelincuentes especializado en cometer estafas a nivel nacional, la cual podría haber estafado más de 5 millones de euros. En la operación se han practicado un total de 6 registros domiciliarios en las localidades de Alcorcón y Boadilla del Monte en Madrid, y se ha procedido a la detención de 20 personas.

La operación se inició en el año 2020 tras una denuncia presentada por parte del representante de una empresa, por la supuesta realización de cuatro transferencias no consentidas, por un valor total de 14.000 euros, y la tentativa de transferencia de otros 9.000 euros desde distintas cuentas de su empresa. El denunciante puso en conocimiento de los agentes que cuando se disponía a realizar una transferencia online, el ordenador se bloqueó, apareciendo un aviso de su banco comunicándole que se estaba reestructurando el sistema. Cuando desapareció este aviso, le fueron solicitadas nuevamente las claves de acceso a la operativa online del banco, cosa que hizo varias veces porque, al parecer, el sistema fallaba, comprobando después, a través de una llamada a la entidad bancaria, que se habían realizado varias transferencias fraudulentas a cuentas desconocidas por él. 

Continuando con las investigaciones, los agentes detectaron una infestación del equipo informático del denunciante, que había permitido a los ciberdelincuentes interceptar las páginas Web de las entidades bancarias visitadas, obteniendo así sus credenciales de acceso a la banca online para realizar posteriormente las transferencias fraudulentas. Se trata de una técnica denominada “Man in the browser”, que indujo a los investigadores a atribuir los hechos a un grupo criminal especializado en ciberdelincuencia.

La segunda parte de la investigación consistió en el análisis técnico de los dispositivos electrónicos infectados y de la huella digital creada en la comisión de las estafas, lo que supuso un exhaustivo análisis de más de 1.000.000 de direcciones IP que habían sido utilizadas para cometer los hechos delictivos. Como resultado, los investigadores pudieron establecer que una misma dirección IP controlaba la operativa online de varias cuentas bancarias de la organización. De las investigaciones practicadas se pudo obtener información sobre más de 30 cuentas bancarias beneficiarias de cantidades transferidas ilícitamente, con un alcance inicial defraudado cercano a los 400.000 euros.

Se han conseguido bloquear, por orden judicial un total de 5 cuentas bancarias de entidades ubicadas tanto en España como en países iberoamericanos, además de haberse bloqueado policialmente, y con carácter preventivo, otras 100 cuentas bancarias.

Organización estructurada

La organización estaba estructurada en cinco niveles. En los primeros niveles, se encontraban los “captadores”, que eran los encargados de reclutar los productos bancarios asociados a una persona. Por otro lado, estaban los “rescatadores”, dedicados a sacar el dinero de los cajeros automáticos, tras la recepción de las transferencias fraudulentas, y los “programadores”, especializados en fabricar el malware con el que conseguían infectar los equipos de las víctimas. También contaban con los “Changer Crypto”, encargados de cambiar divisas por monedas virtuales, y con los “Cash Legal”, que movían las cantidades defraudadas. Finalmente, y en el nivel superior, se encontraba la “cúpula” de la organización, encargada de coordinar a los integrantes del resto de niveles.

Cada uno de los integrantes de estos niveles obtenía un porcentaje de los beneficios que la actividad delictiva les reportaba, que habrían supuesto, solo para cada integrante de la cúpula, un beneficio económico cercano a los 500.000 euros, que sumados a las ganancias del resto de integrantes, eleva a 5.000.000 millones de euros la cantidad total defraudada por la organización.

Dada la complejidad de la operación, y a las medidas de seguridad adoptadas por los integrantes de la organización para dificultar su rastreo, la explotación de la misma se llevó a cabo en cinco fases, realizadas entre los meses de mayo a noviembre del presente año. Hasta la fecha, han sido identificadas 100 personas, entre empresas y particulares, víctimas de transferencias fraudulentas realizadas por la organización.