Agentes de la Policía Nacional han detenido en Valencia a un varón de 25 años como presunto autor de un delito de estafa tras obtener, mediante el método conocido como smishing, datos de más de 4.000 tarjetas bancarias para comprar en diferentes comercios y retirar dinero en cajeros automáticos.
Las investigaciones se iniciaron en el mes de octubre cuando un establecimiento comercial informó a los agentes que un varón realizaba compras con distintas numeraciones de tarjetas de diferentes bancos españoles. Por tales hechos, los agentes comprobaron que a través de técnicas informáticas robó información bancaria para operar con ellas.
Phishing
Durante las pesquisas, los agentes averiguaron que el entramado delictivo se dividía en dos etapas diferenciadas. En un primer momento, el detenido usó el modus operandi conocido como phishing, a su vez separado en varias fases. De forma previa a la estafa, el hombre obtuvo los servicios de una VPN durante un mes. Se trata de un software creado para proteger la privacidad, además del anonimato, y en el que no se necesita identificar al titular para su contratación. Igualmente, este negocio suele tener su sede en países donde la colaboración policial es nula, lo que hace muy compleja la investigación.
Seguidamente, adquirió dominios con nombres similares a la Agencia Tributaria y a Correos haciendo creer a sus víctimas que operaba con las webs originales. Así pues, los usuarios accedían a páginas fraudulentas como www.correo-pagar.com, www.agenciatributaria-es.com y www.agenciatributaria-es.online . Ya por último, dentro de estos portales de Internet insertó formularios para que las víctimas introdujesen los datos de sus tarjetas. De esta forma, logró información como el número de identificación, el PIN, el CVV y la fecha de caducidad.
Smishing
En la segunda etapa de la trama, a través de la táctica del smishing, envió más de 170.000 mensajes a teléfonos españoles que simulaban proceder de la Agencia Tributaria, Correos y de diferentes entidades bancarias con el objetivo de llevar a engaño a sus víctimas. Así, la persona recibía el mensaje de texto creyendo que procedía de un sitio oficial, por lo que introducía sus datos con la finalidad de desbloquear una cuenta, pagar las aduanas de un paquete retenido de correos o liberar el pago de la declaración de la renta. Siempre dando por hecho la fiabilidad del supuesto remitente.
En el transcurso de las investigaciones, los agentes conocieron que el investigado usaba una aplicación de envío masivo de mensajes, al distribuirlos en gran número y en menos de un segundo. En concreto, 31.147 envíos simulaban ser la Agencia Tributaria y 140.345 Correos. Dentro del texto, el supuesto estafador mandaba el enlace del sitio web fraudulento para captar la información sensible de sus víctimas. Además, los agentes comprobaron que el sospechoso disponía de 431.000 números de teléfono adquiridos en la “Dark web”, espacio de Internet donde se compran y venden productos ilegales mediante bitcoins.
Una vez tenía en su poder los datos bancarios de las víctimas volcaba la numeración de las tarjetas en una app de pago vía móvil, que a su vez estaba asociada a varios terminales de su propiedad. Finalmente, usaba los teléfonos móviles para realizar compras y extraer dinero de los cajeros de las correspondientes entidades bancarias de las víctimas.
Fraude millonario frustrado
La rápida actuación policial evitó que el fraude llegase a ser millonario y con miles de personas afectadas. Tanto es así, que en menos de un mes obtuvo los datos de más de 4.000 tarjetas bancarias. Según se desprende de las investigaciones, el estafador disponía de todos los recursos para desplegar el fraude por su cuenta y actuaba de forma solitaria, aunque los agentes conocieron que formaba parte de una comunidad virtual de la que obtenía consejos para delinquir sin ser descubierto.
Los policías registraron una habitación de un céntrico hotel de Valencia, que resultó ser el domicilio actual del supuesto autor. En este lugar, se intervinieron un total de 29 teléfonos, 56 tarjetas de prepago, 3.520 euros en efectivo, dos ordenadores portátiles y dos discos duros. El detenido, que carecía de antecedentes policiales, ingresó en prisión.
Recomendaciones
Debida a la similitud de las páginas web creadas por el sospechoso, es relativamente sencillo caer en el engaño. Para evitar este tipo de estafas se recomienda comprobar que la dirección del portal de Internet es segura y que comienza por https. También, es importante no abrir ni contestar mensajes de usuarios desconocidos, además de tener la debida precaución a la hora de seguir enlaces y descargar ficheros adjuntos. Igualmente, nunca dar información confidencial a través de correos electrónicos.