Detenido el principal desarrollador de kits de 'phishing' bancario para grupos que querían "robar a las abuelas"

Agentes de la Unidad Central Operativa (UCO) de la Guardia Civil han detenido a un joven brasileño de 25 años conocido como 'GoogleXcoder', al que se ha identificado como el principal proveedor de herramientas para 'phishing' (fraude) bancario destinado a grupos delincuenciales que llegaron a alardear en sus canales de mensajería de "robarle todo a las abuelas".

La operación se ha desarrollado en colaboración con la Policía Federal de Brasil y la empresa de seguridad Grup IB y ha permitido desarticular un entramado criminal tras el registro del sospechoso en San Vicente de la Barquera (Cantabria), según ha informado la Guardia Civil en una nota de prensa.

En concreto, este joven al que la Guardia Civil califica de "nómada digital" --por sus constantes cambios de domicilio-- se dedicaba al diseño y a la comercialización de equipos de 'phishing' (fraude) bancario capaces de clonar páginas web y todo tipo de organismos estatales para robar los datos de las víctimas.

SEIS REGISTROS EN DOMICILIOS

Como resultado de la investigación llevada a cabo por el Juzgado de Instrucción número 1 de San Vicente de la Barquera, la operación concluyó con seis entradas y registros en domicilios de las localidades de Valladolid, Zaragoza, Barcelona, Palma de Mallorca y en los municipios de San Fernando y La Línea de la Concepción en Cádiz.

Durante la operación, los agentes han intervenido dispositivos electrónicos y se han recuperado fondos vinculados al dinero sustraído a las víctimas, almacenados en distintas plataformas digitales.

La Guardia Civil especifica que desde el año 2023 se han venido sucediendo a nivel nacional una serie de campañas de 'phishing', en las que los cibercriminales suplantaban tanto a los principales organismos públicos como a las entidades bancarias más importantes de España para engañar a las víctimas y obtener sus datos personales.

ALARMA SOCIAL

Estas campañas de robo de credenciales han derivado en una cantidad importante de denuncias de personas afectadas, millones de euros sustraídos y el origen de una incipiente alarma social, ha explicado la Guardia Civil.

Debido a la gravedad de las circunstancias y a la proliferación agresiva de estas campañas de 'phishing', el Departamento contra el Cibercrimen de la UCO inició una investigación con el objetivo de alcanzar no solo a los ejecutores, sino al "cerebro" que diseñaba las herramientas utilizadas por numerosos grupos delictivos para estafar.

De esta forma, los investigadores localizaron al ciberdelincuente que, bajo un modelo 'Crime as a Service' (CaaS), ofrecía un servicio completo de 'phishing' a otros delincuentes, en el que diseñaba y comercializaba 'kits' capaces de clonar páginas web de entidades bancarias y todo tipo de organismos estatales. Sus servicios incluían personalización, soporte técnico y actualizaciones, consolidando una estructura criminal profesionalizada.

"ROBARLE TODO A LAS ABUELAS"

Los cibercriminales o 'phishers' que contrataban los 'kits' del detenido para cometer las estafas organizaban las operaciones a través de grupos en la aplicación de mensajería 'Telegram' donde, según ha detallado la Guardia Civil, contaban con "un nivel de impunidad" tal que uno de sus grupos se denominaba "Robarle todo a las abuelas".

Estos criminales contrataban los servicios de 'GoogleXcoder' por cientos de euros al día, llegando a suplantar varias decenas de entidades, engañando a miles de personas y con fraudes bancarios que alcanzaban los millones de euros.

El individuo que se ocultaba tras este pseudónimo se trasladaba frecuentemente entre distintos domicilios de diferentes provincias de España, sirviéndose de líneas de teléfono y tarjetas de pago a nombre de identidades suplantadas para evitar su localización. Su actividad delictiva le permitía mantener una vida como "nómada digital" junto a su familia.

El análisis forense de los dispositivos intervenidos, así como de las transacciones en criptomonedas, que se prolongó durante más de un año debido a su complejidad, permitieron reconstruir todo el entramado delictivo, logrando identificar a seis personas directamente relacionadas con el uso de estos servicios.

Actualmente, la investigación continúa abierta y no se descartan nuevas actuaciones. Los canales de Telegram han sido ya objeto de medidas de desactivación y se están analizando evidencias digitales intervenidas, que podrían dar lugar a nuevas identificaciones o detenciones.