Creó webs falsas de bancos e instituciones oficiales

Detienen en València a un joven que robó datos de 4.000 tarjetas bancarias

La Policía Nacional ha detenido en València a un joven de 25 años que supuestamente robó los datos de más de 4.000 tarjetas bancarias a través del método conocido como 'smishing'. El arrestado, que vivía en un hotel del centro de la ciudad, creó webs falsas de instituciones oficiales y entidades bancarias para obtener los datos, que después usó para compras tiendas y sacar dinero de cajeros automáticos.

ondacero.es

València | 13.01.2021 13:00

Detienen en València a un joven que robó datos de 4.000 tarjetas bancarias | Cuerpo Nacional de Policía

Las investigaciones se iniciaron el pasado mes de octubre cuando un establecimiento comercial informó a la Policía de que un varón realizaba compras con distintas numeraciones de tarjetas de diferentes bancos españoles. Los agentes comprobaron que esta persona, a través de técnicas informáticas, supuestamente había robado información bancaria para operar con ellas.

Durante las pesquisas, los agentes averiguaron que el entramado delictivo se dividía en dos etapas diferenciadas. En un primer momento, el ahora detenido usó el 'modus operandi' conocido como 'phishing', a su vez separado en varias fases. De forma previa a la estafa, el hombre obtuvo los servicios de una VPN durante un mes. Se trata de un software creado para proteger la privacidad, además del anonimato, y en el que no se necesita identificar al titular para su contratación. Según la Policía, este negocio suele tener su sede en países donde la colaboración policial es nula, lo que hace muy compleja la investigación.

Seguidamente, adquirió dominios con nombres similares a la Agencia Tributaria y a Correos haciendo creer a sus víctimas que operaba con las webs originales. Los usuarios accedían a páginas fraudulentas como www.correo-pagar.com , www.agenciatributaria-es.com y www.agenciatributaria-es.online. Dentro de estos portales de Internet insertó formularios para que las víctimas introdujesen los datos de sus tarjetas y así logró información como el número de identificación, el PIN, el CVV y la fecha de caducidad.

En la segunda etapa de la trama, a través de la táctica del smishing, envió más de 170.000 mensajes a teléfonos españoles que simulaban proceder de la Agencia Tributaria, Correos y de diferentes entidades bancarias con el objetivo de llevar a engaño a sus víctimas. La persona recibía el mensaje de texto creyendo que procedía de un sitio oficial, por lo que introducía sus datos con la finalidad de desbloquear una cuenta, pagar las aduanas de un paquete retenido de correos o liberar el pago de la declaración de la renta, todo ello dando por hecho la fiabilidad del supuesto remitente.

En el transcurso de las investigaciones, los agentes conocieron que el investigado usaba una aplicación de envío masivo de mensajes, al distribuirlos en gran número y en menos de un segundo. En concreto, 31.147 envíos simulaban ser la Agencia Tributaria y 140.345 Correos. Dentro del texto, el supuesto estafador mandaba el enlace del sitio web fraudulento para captar la información sensible de sus víctimas.

431.000 números de teléfono

Además, los agentes comprobaron que el sospechoso disponía de 431.000 números de teléfono adquiridos en la 'Dark web', espacio de Internet donde se compran y venden productos ilegales mediante bitcoins. Una vez tenía en su poder los datos bancarios de las víctimas, volcaba la numeración de las tarjetas en una app de pago vía móvil, que, a su vez, estaba asociada a varios terminales de su propiedad. Finalmente, usaba los teléfonos móviles para realizar compras y extraer dinero de los cajeros de las correspondientes entidades bancarias de las víctimas.

La rápida actuación policial evitó que el fraude llegase a ser millonario y con miles de personas afectadas ya que, que en menos de un mes, presuntamente obtuvo los datos de más de 4.000 tarjetas bancarias. Según se desprende de las investigaciones, el presunto estafador disponía de todos los recursos para desplegar el fraude por su cuenta y actuaba de forma solitaria, aunque los agentes conocieron que formaba parte de una comunidad virtual de la que obtenía consejos para delinquir sin ser descubierto.

Los policías registraron una habitación de un céntrico hotel de València, que resultó ser el domicilio actual del supuesto autor. En este lugar, se intervinieron un total de 29 teléfonos, 56 tarjetas de prepago, 3.520 euros en efectivo, dos ordenadores portátiles y dos discos duros. El detenido, que carecía de antecedentes policiales, ya ha ingresado en prisión.

Consejos para no caer en estas estafas

La Policía ha subrayado que, debido a la similitud de las páginas web creadas por el sospechoso, es "relativamente sencillo" caer en el engaño. Por ello aconseja, para evitar este tipo de estafas, comprobar que la dirección del portal de Internet es segura y que comienza por https. También, es importante no abrir ni contestar mensajes de usuarios desconocidos, además de tener la debida precaución a la hora de seguir enlaces y descargar ficheros adjuntos y nunca dar información confidencial a través de correos electrónicos.