Más de un centenar de personas participó en un entramado para desvalijar la cuenta corriente de una anciana tras detectar una debilidad en su protección y realizar 240 pequeños envíos de dinero.
Si le preguntásemos a alguien que imaginase la escena de un atraco, seguro que en su mente recrearía el momento en el que un delincuente armado, con su rostro escondido tras postizos y unas grandes gafas de sol, entra en una sucursal y grita: “¡Todo el mundo quieto! ¡Esto es un atraco!”. Pero la permeabilidad de la sociedad ante las nuevas tecnologías está modificando las clásicas suertes delictivas y genera nuevos ‘modus operandi’ cuyo hilo conductor es algún dispositivo electrónico. Ha ocurrido con las ‘cartas nigerianas’, las extorsiones o, como no, las clásicas ‘sirlas’ o los asaltos a entidades con pistola y pasamontañas. 240.000 euros sisados a través de pequeños pagos con Bizum es el botín que obtuvo un entramado de más de un centenar de personas que perpetró un singular ‘atraco virtual’ que dejó a cero la cuenta corriente de una anciana. Esta es su historia.
El inspector jefe Andrés Román, responsable del Grupo de Ciberdelincuencia de la Comisaría Provincial de Málaga, lideró una investigación con ramificaciones en esta provincia, Madrid y Cataluña y que desveló una organización estratificada que supuestamente empleaba una empresa de transformación de divisas en criptomonedas para blanquear los beneficios de sus golpes en Sudamérica.
El mando policial recuerda que la operación Marima -acrónimo de una de las protagonistas- se activó tras recibir una denuncia de una mujer de avanzada edad a la que le habían sustraído de su cuenta corriente un total de 240.000 euros. Como suele ocurrir en este tipo de casos, la víctima no recordaba haber hecho nada extraño o inusual, pero la experiencia revelaba que un ciberdelincuente había “tocado a la puerta virtual y “alguien le había abierto por error”.
Los especialistas de la citada unidad realizaron un ejercicio de ‘autopsia digital’, una disección de pautas, un ‘flash back’ informático que permitiera determinar cuál había sido el “vector de ataque”, la debilidad que aprovecharon los ‘atracadores’ para colarse de puntillas en la cuenta de la víctima. Y no tardaron en encontrarlo.
La debilidad, el vector de ataque, fue la cuenta de una hermana que picó con un ‘phishing’
El ‘caballo de Troya’ fue una hermana de la anciana que picó en un ‘phishing’ clásico y que fue el punto de partida de una puesta en escena mucho más ambiciosa. La mujer recibió un mensaje supuestamente enviado por su entidad bancaria y que realmente era falso. Contenía un enlace que le redirigió a una web en la que debía aportar el nombre de usuario y la clave de seguridad de su depósito. Así lo hizo y, “de esta forma, vencieron la primera de las capas de seguridad”, señala Román, que explica que, a partir de ese momento, los delincuentes “lograron el control total” de su dinero. Pero no encontraron lo que esperaban… Inicialmente.
La ‘llave maestra’
Los ladrones comprobaron que la mujer no disponía de muchos ahorros, aunque se percataron de que estaba autorizada para acceder a la cuenta de su hermana, donde había 240.000 euros. La cuestión era hacerse con él sin ser descubiertos, y para ello necesitaban las firmas digitales que iban a llegar al teléfono de la mujer para validar las operaciones bancarias. “¿Cómo vencen esta segunda capa de seguridad? Con un ‘SIM Swapping’”, que es una suplantación de la tarjeta SIM de un móvil. ‘Clonarían’ el dispositivo y todas las notificaciones llegarían a los ladrones.
Para lograrlo, confeccionaron un DNI y una denuncia falsa, además de contar con el escaso celo de los empleados de una tienda de telefonía, que proporcionaron la tarjeta duplicada sin advertir ningún reparo.
Los ciberdelincuentes tenían a su disposición la ‘llave maestra’ que abriría la ‘caja’ de los 240.000 euros, pero sabían que debían actuar con rapidez porque en el momento que activasen el ‘Sim Swapping’ dejarían inoperativo el teléfono de la mujer.
Contaban con que, al pertenecer a la misma entidad, el traspaso del dinero entre las cuentas de las hermanas sería inmediato, pero debían realizar una segunda, y definitiva, transferencia al ‘exterior’ que fuese sigilosa. “Sabían que no debían ordenar transferencias ordinarias porque los mismos algoritmos del banco podían alertar de una operación de riesgo, pero aprovecharon que la mujer tenía habilitado el Bizum para obtener el dinero”, manifiesta el inspector jefe, que detalla que “realizaron 240 envíos de 999 euros a ‘mulas’ en un corto espacio de tiempo”. Las certificaciones de esos pagos llegaban al teléfono duplicado, por lo que la víctima no era consciente de que estaban usando su cuenta para robar a su hermana. “El síntoma de que estaba sufriendo un ‘atraco virtual’ es que su móvil dejó de funcionar temporalmente”, pero al no asociarlo con un acto delictivo, no reaccionó con rapidez. Por esta circunstancia, el mando policial recomienda que, “ante un mal pronóstico, llamar rápidamente a la compañía para anular todos los servicios”.
No obstante, en este caso concreto, el margen era muy limitado, ya que la organización había ‘desplegado’ una legión de ‘mulas’ a las que se les transferirían esas partidas mileuristas que después sacarían a través de cajeros automáticos o seguirían moviendo hacia otras cuentas. Porque esta investigación hizo aflorar una red profesionalizada donde cada uno de sus miembros desarrollaba un papel clave para el éxito del robo: desde las personas que lanzaron el ataque de ‘phishing’, pasando por los falsificadores que posibilitaron el ‘Sim Swapping’, los intermediarios y hasta una agencia de cambio de divisas en criptomoneda con la que presuntamente se blanqueaban los beneficios y que llevó las pesquisas a Sudamérica.
Las redes insertan falsas ofertas de empleo para obtener datos personales con los que delinquir
“Todos iban a comisión”, afirma Andrés Román, que agrega que se produjeron más de 100 detenciones en 16 provincias del país. Un total de 92 eran ‘mulas’, personas -en la mayoría de los casos- de origen sudamericano que eran el eslabón más débil, pero necesario, de esta cadena delictiva. En este rol se han detectado dos perfiles claros: “El intermediario que vive al día y quien es engañado creyendo, por ejemplo, que opta a un empleo”. “En portales como Infojobs o Milancuncios se insertan ofertas laborales cuyo único objetivo es obtener datos para realizar estos movimientos de dinero”, cuenta el responsable policial, que precisa que “piden a los aspirantes documentos como una nómina o una factura con la que se abren cuentas corrientes online o se obtienen números de teléfono para hacer transferencias por Bizum”. “Reclutan información personal para realizar ataques de ‘spoofing’, operaciones de blanqueo o desfalcos con sistemas de pago”. Y esos ciudadanos a los que han engañado acaban en listas de morosos como el Registro de Aceptaciones Impagadas (RAI), reclamaciones de créditos o en mitad de procesos judiciales. “Ese es el momento en el que descubren que tenían un depósito a su nombre por el que había pasado un montón de dinero”.
El centenar de arrestados en la operación Marima, que desveló cauces de fondos hacia Sudamérica para la adquisición de criptomonedas, fue acusado de estafa continuada, blanqueo de capitales, organización criminal y, en algunos casos, falsificación de documentos y usurpación de identidad.
Un nuevo escenario
“Tradicionalmente los atracos se realizaban a mano armada porque nos movíamos en un mundo físico y material, pero actualmente lo digital lo impregna todo y la delincuencia se ha adaptado a esta realidad paralela”, explica el responsable del Grupo de Ciberdelincuencia de la Policía Nacional en Málaga, que enumera las ventajas de este nuevo escenario para el delincuente. En primer lugar, “le permite hacer múltiples ataques”, porque “antes perpetraban un atraco a un estanco, pero ahora, cómodamente desde un sillón, y aplicando la ingeniería social, pueden hacer múltiples asaltos a través de spams masivos.
El espacio digital, además, ofrece “grandes posibilidades de anonimizarse”. “En el mundo físico se ponían mascarillas, pañuelos o casos, y ahora, simplemente con unos conocimientos medios en Internet, pueden camuflarse detrás de un teclado y una pantalla”, enfatiza, para añadir que “el riesgo es mucho menor, ya que, al no haber contacto con la víctima, no tienen que escapar”.
Y por último, una de sus grandes potencialidades es que “pone a su alcance el sueño de todo delincuente patrimonial: disponer rápidamente del beneficio”. “Aquí juegan un papel muy importante las criptomonedas, medios de pago como Bizum o PayPal o las transferencias inmediatas previo pago de una comisión”, describe Román, que reconoce que es imposible cuantificar exactamente el montante de este tipo de delitos y que avisa de una mayor estructuración en grupos organizados y células.
“Invierte la iniciativa. Si te avisan de un problema, llama tú, no sigas instrucciones”
“En Ciberdelincuencia, la prevención es la principal protección. Y esto implica cultura digital y financiera, así como una serie de premisas básicas: Nunca descargar nada, nunca pinchar un enlace. Pero sobre todo, invertir la iniciativa. Si te avisan de un problema, llama tú, no sigas instrucciones, porque te puedes estar metiendo en una trampa. Creo que es la receta mágica contra todo tipo de ataques basados en señuelos y engaños”.