La Policía Nacional desarticula una organización de ciberdelincuentes que había estafado 2,4 millones de euros mediante el fraude del CEO y técnicas de phising

La Policía Nacional ha detenido a 11 ciberdelincuentes e investiga a otros 5 como presuntos autores de delitos de estafa, blanqueo de capitales y pertenencia a organización criminal. La mayoría de estas 16 personas residían en Valencia, aunque también se actuó en Palma de Mallorca, Maspalomas e Ibiza, según ha confirmado el cuerpo policial en un comunicado.

Al desarticularse esta organización, los agentes detectaron "más de 150 cuentas bancarias" que habían sido utilizadas para defraudar empresas de Italia, República Checa, Estados Unidos, Líbano, China, Kazajistán o Países Bajos. Las técnicas que más emplearon fueron phising o la cada vez más popular 'estafa del CEO'.

Leer más: El mejor 'cazador de ransomware' del mundo vive aislado y rodeado de cámaras en un lugar secreto en Reino Unido por las amenazas que recibe a diario de las mafias de ciberdelincuentes

La investigación arrancó a mediados de 2018, tras recibir varias denuncias de todo el mundo. Los agentes detectaron "una compleja red de intermediarios y mulas" constituidas en más de 150 cuentas bancarias. "De ellas se valdría la organización para ocultar el origen fraudulento del dinero obtenido y, además, dificultar así la identificación de los destinatarios finales de las cantidades adquiridas de manera ilícita".

En concreto, esta organización empleaba dos técnicas: el phising y la conocida como estafa del CEO. Mientras que el phising es una técnica recurrente que consiste en enviarle a las víctimas un formulario de una web falsa que se hace pasar por una web verdadera.

Por ejemplo, muchos usuarios reciben SMS en sus teléfonos de entidades bancarias o supermercados advirtiendo que han tenido un problema con la cuenta y que necesitan confirmar su identidad. Los SMS incluyen un enlace que redirige a una página web que simula ser la de tu banco, para que en ella introduzcas tus credenciales: DNI y contraseña.

Leer más: Los hackers están mejorando la forma en la que engañan a la gente para que entregue sus contraseñas: esto es lo que hay que tener en cuenta, según los expertos

Al introducirla, pensarás que no ha habido ningún problema. Lo que habrás hecho en ese momento es enviar, sin tú saberlo, tu contraseña a los ciberdelincuentes, que ya podrán acceder a tu cuenta bancaria ilícitamente.

Cómo funciona la estafa del CEO

La conocida como estafa del CEO es igualmente sofisticada, pero requiere de paciencia e "ingeniería social". La Policía define esta ingeniería social como la capacidad de "crear un escenario ficticio para que la víctima revele una información que en circunstancias normales no revelaría".

Esta ingeniería social puede ayudar a los ciberdelincuentes a intuir cuál será tu credencial haciendo un pormenorizado perfil de tus gustos e intereses a través de redes sociales. Si eres un usuario al que le apasiona el mundo del motor o de los videojuegos, es posible que tu contraseña esté vinculada con esos ámbitos. O incluso que tu contraseña sea una construcción de tu ciudad natal o de fechas de cumpleaños, propias o de familiares y amigos.

Con esta ingeniería social, muchos ciberdelincuentes perpetran la cada vez más habitual estafa del CEO, que no es otra cosa que enviar un correo electrónico a un directivo de una empresa haciéndose pasar por el jefe, e instándole a realizar una operación financiera "confidencial y urgente", recuerda la Policía. "Si el trabajador no se percata del engaño puede revelar datos sensibles a los estafadores, o directamente transferirles fondos".

Leer más: Qué hacen los hackers para combatir el coronavirus: desde filtrar artículos académicos a organizar congresos benéficos

La mayoría de los ciberdelincuentes detenidos residían en Valencia. Sin embargo, la policía Nacional no hace ninguna relación sobre estas detenciones y la polémica 'estafa del CEO' que sufrió la empresa municipal de transportes de la ciudad del Turia a mediados del año pasado. La EMT valenciana sufrió un agujero de seguridad por el cual perdieron hasta 4 millones de euros.

Miguel Juan, de la empresa de ciberseguridad S2 Grupo, explicaba al diario Las Provinciasque en el caso de la EMT valenciana se había llevado a cabo este tipo de fraude gracias a una operación man in the middle, que en el argot técnico de este ámbito implica que los ciberdelincuentes pudieron pinchar las comunicaciones internas de la empresa, leer los mensajes que se distribuían directiva y empleados, y así ser capaces de perpetrar un engaño más difícil de detectar.

No es la primera operación policial en lo que va de año que afecta al ámbito de la ciberseguridad. Semanas atrás, la Policía Nacional detuvo a un joven de 16 años de Madrid que había sido capaz de hackear un servicio municipal de alquiler de bicicletas, una importante empresa de vídeo bajo demanda, o incluso una proveedora de tecnología a través de un post de autopedido presente en un restaurante de comida rápida.