La Comandancia de la Guardia Civil de Zamora vuelve a dar un nuevo golpe a la ciberdelincuencia con la resolución de la Operación Coruni, la mayor de estas características y que deja dos detenidos y 56 investigados por estafas a clientes de entidades financieras, el conocido como smishing bancario.
La investigación arrancó en junio de 2022 y se ha extendido durante 16 meses para resolver una red de estafa que sólo en la provincia de Zamora ha dejado más de 40 víctimas por importe de 180.000 euros, si bien se han conseguido recuperar 104.000 euros gracias al bloqueo por parte de la propia Guardia Civil y entidades financieras. De esta manera, el fraude total se limita a los 76.000 euros en la provincia.
Se calcula que el total de afectados a nivel nacional podría ascender a las 2.500 personas.
Todas las víctimas pertenecían a la misma entidad bancaria y las denuncias interpuestas en diferentes comisarías respondían a un mismo patrón que se ha extendido hasta febrero de este mismo año. La edad media de la víctima es de 46 años con una estafa media mediante la técnica de smishing es de 3.000 euros -repartidos en tres operaciones vía transferencia bancaria y Bizum-, si bien en algún caso la estafa ha ascendido a los 20.000 euros. En total se ha detectado más de 200 operaciones bancarias fraudulentas a través del sistema de ingeniería informática.
Los ciberdelincuentes emplearon mediante “ingeniería social” una combinación de paquetes de mensajería y llamadas telefónicas falsas para hacerse pasar por una fuente legítima (entidad bancaria) y solicitar información confidencial, como contraseñas y números de cuentas bancarias.
Con los datos obtenidos en las primeras investigaciones se logró identificara las denominadas “mulas bancarias” y posteriormente llegar a los supuestos responsables de una de las organizaciones criminales, que residen en la provincia de Barcelona.
Ha sido un importante despliegue policial realizado por la Guardia Civil de Zamora y concretamente por componentes del Equipo @ y de la U.O.P.J. y desarrollado en 13 municipios de la provincia de Barcelona, tres en Madrid y uno en el caso de Tarragona, Granada, Valencia, Huelva, Girona y Albacete, así como el registro domiciliario de dos viviendas en la localidad barcelonesa de Castellar del Vallés donde se incautó material informático por valor de miles de euros.
Este operativo se salda con la investigación de 56 personas como supuestos autores de uno o varios delitos de estafa y a dos de ellas por pertenencia a organización criminal. Así mismo se procedió a la detención de otras 2 personas como supuestos autoras de los delitos de estafa y pertenencia a organización criminal.
La investigación afronta su fase final si bien se prevé que las últimas pesquisas podrían conllevar hasta una veintena de nuevas detenciones.
Mediante un aviso vía SMS llegado a la práctica totalidad de la información, el éxito del fraude radica precisamente en los clientes pertenecientes a la entidad bancaria a la que se refiere el mensaje de texto.
Desde la Guardia Civil insisten en la necesidad de revisar la redacción del texto (siempre caracterizado por la urgencia), no pinchar sobre ningún enlace a SMS sospechosos (o en su caso no introducir los datos de usuario y contraseña de acceso al banco), no responderlos. En caso de la recepción de una llamada se recomienda colgar la llamada, no facilitar en ningún momento las claves y proceder a contactar directamente con la entidad bancaria. Ante cualquier duda siempre se puede proceder a bloquear temporalmente la tarjeta a la espera de que la entidad supervise cualquier intento de fraude a través de la cuenta.
Así funcionaba la estafa por smishing bancario
En el caso que nos ocupa, esta modalidad delictiva era dirigida hacia un grupo concreto de personas todos ellos clientes de entidades financieras suplantadas por los estafadores. A partir de aquí empiezan a utilizar “ingeniería social”, combinan paquetes de mensajería y llamadas telefónicas falsas para hacerse pasar por una fuente legítima (entidad bancaria) y solicitar información confidencial, como contraseñas y números de cuentas bancarias.
Estos paquetes de mensajería tienen por finalidad engañar al cliente entendiendo éste que proviene de su entidad bancaria, mediante informaciones falsas bajo pretexto de accesos indebidos a su cuenta, trasferencia de fondos etc.…, a la vez que adjuntan un enlace que debería redireccionarles a la supuesta web del banco para que solucionen el supuesto problema.
Este SMS falso se incluye en el grupo de mensajes SMS reales recibidos con las notificaciones de las autorizaciones de pago al realizar cualquier tipo de operación con la citada entidad bancaria.
El ciberdelincuente tiene ya preparada toda su infraestructura que consiste en el clonado de la web del banco en servidores preparados para el alojamiento web y material informático que simula llamadas telefónicas en nombre de la entidad financiera.
Cuando la víctima accede a través del falso enlace (que le llega junto con el mensaje citado) le redirecciona a la web clonada del ciberdelincuente (concretamente la página de inicio donde se introducen las contraseñas, WEB SPOOFING) haciéndose con las claves de acceso de los usuarios.
Más tarde se recibe una llamada telefónica, apareciendo en el móvil de los perjudicados el número oficial de la entidad bancaria (CALL SPOOFING) informando (el ciberdelincuente) del supuesto problema que está sucediendo, solicitando las claves que le han sido enviadas a la víctima por SMS para poder solucionarlo.
Mediante este engaño y facilitadas las claves de la operación es cuando se consuma la estafa, trasfiriendo el ciberdelincuente los fondos, realizando un BIZUM, compras ON-LINE, inversiones en criptoactivos o trasferencias inmediatas.
En este caso, la mayoría de estos fondos eran trasferidos a una cuenta bancaria de otra tercera persona, que actúa como “mula bancaria”, ésta persona, a su vez, trasfiere los fondos al ciberdelincuente a cambio de contraprestación económica, que en algunos casos no es necesario porque ha cedido el control de sus cuentas bancarias al estafador.
Técnica “SMS SPOOFING”
Los clientes reciben masivamente mensajes SMS, suplantando al banco como remitente de los mismos, mediante la técnica conocida como “SMS SPOOFING”. En ellos se alerta de un acceso no autorizado a sus cuentas y se les requiere la verificación inmediata de dichas operaciones a través de un enlace de acceso que les direcciona a una página web, idéntica a la de su banco, que es controlada por los ciberdelincuentes para apoderarse de los datos de acceso a las cuentas bancarias.
Técnica denominada “CALL- SPOOFING”
Como los delincuentes necesitan los códigos de seguridad que el banco envía al móvil del titular de la cuenta para autorizar cada operación (para usuarios con doble factor de autenticación), los estafadores utilizan una novedosa técnica denominada “CALLER ID SPOOFING”.
De esta manera, logran suplantar el número de teléfono real de la sucursal bancaria, llamando a los perjudicados, a quienes alertan de las operaciones fraudulentas en su cuenta, y les solicitan los códigos de seguridad que reciben por SMS para la anulación de las supuestas operaciones, consiguiendo así culminar el engaño y consumar la estafa.
