Los agentes de la Policía Nacional han detenido en Valencia a un hombre de 25 años como presunto autor de un delito de estafa tras obtener datos de más de 4.000 tarjetas bancarias. Se intervinieron un total de 29 teléfonos, 56 tarjetas de prepago, 3.520 euros en efectivo, dos ordenadores portátiles y dos discos duros. El detenido, que carecía de antecedentes policiales, ingresó en prisión.
La intervención de la Policía, que registró una habitación de un céntrico hotel de Valencia, que resultó ser el domicilio actual del supuesto autor, evitó que el fraude llegase a ser millonario y con miles de personas afectadas.
Según se desprende de las investigaciones, el estafador disponía de todos los recursos para desplegar el fraude por su cuenta y actuaba de forma solitaria, aunque los agentes conocieron que formaba parte de una comunidad virtual de la que obtenía consejos para delinquir sin ser descubierto.
Modus operandi
El procedimiento seguido para recopilar esos datos se dividía en dos fases. Una primera, conocida como pishing, en la que, con la ayuda de una red VPN, adquirió dominios con nombres similares a la Agencia Tributaria y a Correos haciendo creer a las víctimas que navegaban por las webs originales.
En la segunda etapa de la trama, a través de la táctica del smishing, envió más de 170.000 mensajes a teléfonos españoles que simulaban proceder de las instituciones oficiales mencionados, así como de diferentes entidades.
De esta manera, la víctima recibía un mensaje de texto creyendo que procedía de un sitio oficial, introducía sus datos con distintas finalidades que el supuesto autor de la estafa utilizaba como gancho: desbloquear una cuenta, pagar las aduanas de un paquete retenido de correos o liberar el pago de la declaración de la renta.
Los agentes conocieron que el investigado usaba una aplicación de envío masivo de mensajes, al distribuirlos en gran número y en menos de un segundo. En concreto, 31.147 envíos simulaban ser la Agencia Tributaria y 140.345 Correos.
Además, los agentes comprobaron que el sospechoso disponía de 431.000 números de teléfono adquiridos en la “Dark web”, espacio de Internet donde se compran y venden productos ilegales mediante bitcoins.
Una vez tenía en su poder los datos bancarios de las víctimas, volcaba la numeración de las tarjetas en una aplicación de pago vía móvil, que a su vez estaba asociada a varios terminales de su propiedad. Finalmente, usaba los teléfonos móviles para realizar compras y extraer dinero de los cajeros de las correspondientes entidades bancarias de las víctimas.
Este tipo de amenazas se pueden evitar tomando una serie de precauciones: verificar que la dirección web a la que se accede empieza por https; no abrir ni contestar mensajes de usuarios desconocidos; ser precavidos a la hora de seguir enlaces y descargar ficheros adjuntos; y nunca dar información confidencial a través de correos electrónicos.