Agentes de la Policía Nacional han detenido a 11 ciberdelincuentes que habrían estafado más de 2.400.000 € a empresas y particulares de múltiples países. Arrestados por delitos de estafa, blanqueo de capitales y pertenencia a organización criminal, realizaban fraudes a través de las nuevas tecnologías valiéndose de métodos de ingeniería social. Se han detectado más de 150 cuentas bancarias de las que se habrían valido para defraudar a empresas situadas en diversos países. Utilizaban técnicas de phishing y la conocida como “estafa del CEO”.
“Mulas” y “hombres de paja” para ocultar su rastro
La investigación comenzó a mediados del 2018 cuando los agentes recibieron diversa información a través de denuncias que, gracias a la eficaz coordinación internacional, determinó la existencia de un grupo organizado de ciberdelincuentes especializados en dos modalidades de fraude: el phishing y la estafa del CEO.
Los investigadores estudiaron los diversos medios de cobro empleados por los ciberdelincuentes, detectando más de 150 cuentas bancarias que constituían una compleja red de intermediarios y “mulas”. De ellos se valdría la organización para ocultar el origen fraudulento del dinero obtenido y, además, dificultar así la identificación de los destinatarios finales de las cantidades obtenidas de manera ilícita.
Los agentes verificaron la existencia de víctimas de estas estafas, tanto empresas como particulares, ubicados en Italia, República Checa, Estados Unidos, Líbano, China, Kazajistán y Países Bajos entre otros, siendo el total de dinero defraudado superior a los 2.400.000 €.
Gracias al análisis de la información recabada, los investigadores identificaron a un total de 16 personas ubicadas en Palma de Mallorca (1), Maspalomas (1), Ibiza (2) y Valencia (12), arrestando a 11 de ellos como presuntos autores de delitos de estafa, blanqueo de capitales y pertenencia a organización criminal. Las cinco personas restantes han sido imputadas como investigados no detenidos.
La denominada estafa del CEO, es una modalidad delictiva que se caracteriza porque, a diferencia del phishing, la víctima tiene un perfil establecido: un empleado con acceso a los recursos económicos de una empresa y que ha sido estudiado y seleccionado previamente en base a los objetivos de los delincuentes. Básicamente el timo consiste en que un empleado de alto rango o el contable de la empresa con capacidad para hacer transferencias o acceso a datos de cuentas bancarias, recibe un correo electrónico, supuestamente de su jefe, ya sea su CEO, presidente o director de la compañía. En este mensaje le pide ayuda para realizar una operación financiera confidencial y urgente. Si el trabajador no se percata del engaño puede revelar datos sensibles a los estafadores o directamente transferirles fondos.
Por su parte, el phishing se basa como la estafa anterior en técnicas de ingeniería social, consiste en el envío masivo de emails tratando de hacerse pasar por una entidad de la confianza de la víctima, un banco, una gran empresa o una entidad pública. En dichos mensajes existe un enlace en el que se desvía a la víctima a una página falsa en la que se solicita la introducción de contraseñas y datos personales o bancarios que pueden dar el acceso y control de sus servicios bancarios y financieros a terceras personas.
¿Qué hacer?
- Nunca te sientas presionado a hacer clic en un enlace de un correo electrónico. Aún más importante, no actúes siguiendo consejos que no solicitaste y que no esperabas. Si realmente estás buscando consejos sobre el coronavirus, realiza tu propia investigación.
- No te dejes engañar por el nombre del remitente. Esta estafa dice que es de la “Organización Mundial de la Salud”, pero el remitente puede poner cualquier nombre que desee en el campo De:
- Presta atención a errores ortográficos y gramaticales. No todos los delincuentes cometen errores, pero muchos lo hacen. Tómate un tiempo extra para revisar los mensajes en busca de signos reveladores de que son fraudulentos: ya es bastante malo ser estafado si te das cuenta que podrías haber detectado el fraude.
- Verifica la URL antes de escribirla o hacer clic en un enlace. Si el sitio web al que accedes no parece correcto, mantente alejado. Haz tu propia investigación y tu propia elección sobre dónde buscar.
- Nunca introduzcas datos que un sitio web no debería solicitar. No hay ninguna razón para que una página web de concientización de salud solicite tu dirección de correo electrónico, y mucho menos tu contraseña. En caso de duda, no los des a conocer.
- Si te das cuenta de que acabas de revelar tu contraseña a los impostores, cámbiala lo antes posible. Los delincuentes que dirigen sitios de phishing generalmente prueban las contraseñas robadas de inmediato (este proceso a menudo se puede hacer automáticamente), por lo que cuanto antes reacciones, menos probabilidades hay de daños mayores.
- Nunca uses la misma contraseña en más de un sitio. Una vez que los delincuentes tengan una contraseña, generalmente la probarán en todos los sitios web donde puedas tener una cuenta, para ver si tienen suerte.
- Activa la autenticación de dos factores (2FA) si puedes. Esos códigos de seis dígitos que recibes en tu teléfono o generas a través de una aplicación son un inconveniente menor, pero generalmente son una gran barrera para los delincuentes, porque el simple hecho de conocer su contraseña por sí sola no es suficiente.