En una operación conjunta, agentes de la Guardia Civil y la Policía Nacional han desarticulado una organización criminal que cometió cerca de 40 estafas en diferentes puntos de la geografía española. Ocho integrantes de la banda, que hacía cargos en tarjetas de crédito ajenas a través de la tecnología ‘contactless’ y técnicas de phishing han sido detenidos en Cataluña.
El grupo delictivo, que habría llegado a conseguir más de 40.000 euros, conseguía obtener los datos de las tarjetas de crédito de manera fraudulenta recurriendo al uso de correos electrónicos. En ellos simulaban ser la entidad bancaria con la que habitualmente operaban sus víctimas.
A través de esta técnica de phishing enviaban e-mails a una gran cantidad de personas, a quienes engañaban para conocer su número de tarjeta de crédito y contraseña. Las víctimas eran llevadas a una página web clonada que era similar en diseño al de la entidad bancaria original.
Entre las personas detenidas se encontraba el principal cabecilla de la trama. El líder fue localizado cuando se alojaba en un hotel de Barcelona. Al registrar su habitación, los agentes pudieron identificar a otras siete personas involucradas que vivían en Cataluña, concretamente en Barcelona y L’Hospitalet de Llobregat.
COMERCIOS AFINES EN CATALUÑA
La organización contaba con la colaboración de comercios afines en Cataluña. Estos establecimientos, localizados en Barcelona, facilitaban el dinero para el pago a través de sus terminales TPV a cambio de una comisión.
De esta manera los miembros de la banda permitían hacer uso de sus terminales a modo de cajero automático. De hecho, fruto de la actuación policial dos administradores de estos comercios han sido detenidos por un presunto delito de blanqueo de capitales.
La organización criminal llevó a cabo compras y extracciones de dinero a través de diversas aplicaciones móviles habilitadas en smartphones. De acuerdo a las estimaciones realizadas, la banda podría haber obtenido más de 40.000 euros de beneficio a través de este modus operandi.
DIFICULTADES PARA ENCONTRAR AL RESPONSABLE DE LA TRAMA EN CATALUÑA
Los agentes de las Fuerzas y Cuerpos de seguridad del Estado tuvieron dificultades para dar con el principal líder de la trama. El cabecilla no tenía un domicilio fijo en España con el fin de eludir la presión policial y viajaba constantemente a Italia, Francia y Marruecos.
Sin embargo, las pesquisas policiales permitieron localizarlo durante su hospedaje en un hotel de Barcelona. Tras producirse su detención se procedió al registro de la habitación, en la cual se aprehendieron diferentes efectos y documentación relacionadas con los hechos investigados.
Fruto del hallazgo los investigadores pudieron desenmascarar la trama criminal, con la correspondiente identificación y localización del resto de personas involucradas. Finalmente han sido detenidos siete extranjeros y un español, todos ellos residentes en Cataluña.
Entre el material incautado en la operación se han intervenido 1.000 euros, ocho dispositivos móviles, un ordenador portátil, ropa de marca adquirida de forma ilícita y numerosa documentación.
ESPAÑA, EL SEXTO PAÍS CON MÁS ATAQUES DE PHISHING EN 2019
Los ciberdelincuentes y las organizaciones criminales recurren con cada vez mayor frecuencia a sistemas de almacenamiento en la nube para llevar a cabo técnicas de phishing más eficaces. En el año 2019, España fue el sexto país que más ataque de phishing sufrió a nivel mundial.
Por delante de España tan solo se sitúan Grecia, Venezuela, Brasil, Australia y Portugal. Este tipo de organizaciones y delincuentes recurren a los servicios de almacenamiento online para hacer que los emails de phishing como mensajes auténticos. Para ello utilizan en su email un enlace que tiene un dominio que transmite confianza al usuario, como Google Drive y otros servicios similares. Además, su uso hace que sea más probable la superación de los filtros de SPAM o correo no solicitado.
No obstante, el uso de este tipo de servicios no es la única vía utilizada por los ciberdelincuentes. En cada vez más ocasiones se recurre al envío de enlaces de phishing camuflados en falsas convocatorias para eventos. En estos correos electrónicos se opta en ocasiones por solicitar un ingreso de una comisión en una cuenta bancaria a cambio de recibir una transferencia de una gran cantidad de dinero.
Por otro lado, durante el año 2019 los defraudadores aprovecharon las campañas de la Renta de diferentes países para atraer a los usuarios a páginas web falsas. De esta manera prometían el abono de la devolución de los impuestos.
En ambos casos, los criminales recurrieron al uso de una de las técnicas más efectivas: dando un tiempo limitado a su víctima para actuar. De esta forma, justificando la necesidad de actuar con rapidez, incitan a la víctima a tomar una decisión rápida, haciendo que sea más probable que caiga en el engaño.
LAS ENTIDADES BANCARIAS ESPAÑOLAS, VÍCTIMAS DE CAMPAÑAS FRAUDULENTAS
En el pasado año 2019 han sido cuatro las entidades españolas que han sido víctimas de ataques de phishing. Concretamente lo han sido Bankia, BBVA, Caja Rural e ING, si bien otras grandes compañías como Correos, PayPal, Netflix o Endesa, entre otras, tampoco han podido escaparse de este tipo de acciones de ciberdelincuencia.
Los bancos se sitúan entre los principales afectados por los ataques de phishing. Desde el sector bancario se informa de manera regular a sus clientes de la manera en la que pueden evitar estos ataques. De hecho, es habitual que desde las entidades se indique a sus clientes que nunca solicitan por e-mail contraseñas o números secretos.
Sin embargo, a pesar de las advertencias por parte de las entidades, hay personas que siguen cayendo en el engaño y, por tanto, convirtiéndose en víctimas de la ciberdelincuencia. En muchos casos el error sucede al pensar que se es capaz de distinguir un mensaje de phishing de uno que es real.
El problema radica en que este tipo de ataques son cada vez más sofisticados y pueden llegar a la víctima a través de cualquier vía, tales como mensajes de texto, correo electrónico o redes sociales.
En este caso de Cataluña, la organización criminal recurría al phishing para conocer los datos de las tarjetas bancarias de sus víctimas.
RECOMENDACIONES PARA EVITAR EL PHISHING
Los expertos insisten en abogar por el sentido común para detectar un posible ataque de phishing. Asimismo, recomiendan verificar siempre al remitente y comprobar si la cuenta de origen del mensaje es corporativa o emplea un dominio gratuito. En este último caso, si procede de «gmail.com» o «hotmail.com», entre otros, es muy probable que sea phishing. No obstante, en muchas ocasiones hay pequeñas variaciones de un dominio «corporativo» para tratar de simular un correo real.
También se debe observar el tono del mensaje y su contenido. Siempre que se solicite la introducción de datos sensibles como contraseñas o datos bancarios es importante extremar las precauciones.