Operación Usura | Llamaban a sus víctimas alertándolas de una estafa, pero los estafadores eran ellos: hay siete detenidos

Jóvenes, con antecedentes relacionados con delitos de estafa y de nacionalidad española. Hay siete detenidos. La Policía Nacional ha desarticulado un grupo criminal dedicado a las estafas informáticas que, aunque operaba por toda España, se asentaban en Madrid y Toledo. Su modus operandi: hacerse pasar por un banco y llamar a sus víctimas alertándolas de una posible estafa, cuando en realidad los estafadores eran ellos. Hay más de 60 víctimas– aunque no se descarta que este número se amplíe- y el fraude supera los 100.000 euros.

La Operación Usura ha durado cuatro meses, y es, además, la carta de presentación del grupo de ciberestafas de la Brigada Provincial de Policía Judicial de Madrid -de reciente creación- para luchar contra la ciberdelincuencia.

Un call center

Usura, por el resultado, el préstamo y por el mensaje que le daban a las víctimas: "han pedido una financiación a su nombre". Bajo este nombre, la operación policial arrancó hace cuatro meses. La alarma saltó en Madrid. Un ciudadano aseguraba haber sido estafado. Lo llamaron asegurando ser de una entidad de un crédito bancario de la que era cliente, y le dijeron que alguien había solicitado un préstamo a su nombre. Si no era correcto, había que anularlo. Le enviaron un código por SMS; el operador le había pedido esa clave.

"A raíz de esta denuncia", confirma al canal de investigación y sucesos de este grupo editorial el inspector Fandiño -agente al frente de esta operación-, "pudimos relacionar con datos objetivos que detrás de esto había una estructura que estaba realizando el mismo modus operandi con otras víctimas”.

La investigación llevó al sur de Madrid y a Toledo. Hallaron al principal responsable de la estructura, lideraba a seis personas más. Eran jóvenes, españoles y tenían antecedentes previos. Perfectamente organizados, tenían de base de operaciones un domicilio en Leganés que era utilizado como call center.

"En el registro de este domicilio se encontraron varias tarjetas telefónicas y diversos objetos tecnológicos relacionados directamente con los hechos delictivos", confirma el responsable de la investigación. Además, se hallaron más de 500 gramos de marihuana, un arma blanca y útiles empleados para el cultivo.

Modus operandi: “han autorizado un cargo...”

El susto, el miedo, era su principal arma. Desde el citado call center los estafadores se hacían pasar por teleoperadores del banco. Sabían que la persona a la que llamaban era cliente. Tras descolgar, se "identificaban", "han autorizado una operación a su nombre....". ¿No era correcto? Pues entonces ha sido usted víctima de una estafa..." y le daban las pautas a seguir para evitar dicho engaño.

Les decían que iban a recibir una clave, un código, para cancelar un pago fraudulento. La realidad era otra. Cinco minutos antes "el teleoperador" había iniciado una compra en un mercado online -generalmente un teléfono de alta gama, un televisor…- previo robo de sus datos, y el código que la víctima le estaba dando no era otro que el de la confirmación de la compra. Tras dictar el último número del código, la compra se había realizado.

"Los ciberdelincuentes a través de técnicas de ingeniería social, lo que hacían era suplantar el número de teléfono de la entidad de crédito y llamar a clientes de esa propia entidad. Estos cuando recibían la llamada y comprobaban que efectivamente el teléfono pertenecía a la entidad a la que son clientes, facilitaban un código que recibían a través de SMS con el que realmente estaban autorizando una compra fraudulenta", describe el inspector.

Los agentes del nuevo grupo policial distinguen cuatro fases: selección de víctimas, suplantación de identidad del banco, recepción de la mercancía comprada (aquí entraba en juego Toledo, llegaban a un almacén de allí) y posterior venta.

Spoofing, fishing, smishing

Tres denominaciones de un delito similar, aunque en canales diferentes. El objetivo es siempre el mismo: perpetrar una estafa mediante el engaño. Fraudes informáticos. Mientras que phishing es la suplantación de una entidad mediante correo electrónico, smishing lo hará con el envío de SMS (la raíz de su nombre lo dice), vishing ejecuta llamadas telefónicas y spoofing (con ‘sp’ al inicio, se refiere a la suplantación total. Esto es, esa llamada, haciendo uso de programas informáticos, que muestra el número de teléfono de la empresa o de la persona que los ciberdelincuentes les interese para engañar a las víctimas). En la citada operación se utilizaba el spoofing, suplantaban y mostraban el número de teléfono de la entidad de crédito.

Cómo evitarlo

El nuevo grupo policial, compuesto por 28 agentes, nace con el objetivo de luchar con el fraude informático. En este momento son varias las operaciones que están investigando. Desde su experiencia, han podido observar algunos mecanismos que facilitan el engaño, tendencias que se repiten. Por ello los agentes recomiendan, lo primero, que "ante cualquier llamada sospechosa, lo mejor es colgar y realizar seguidamente llamada telefónica al número oficial o al gestor personalizado que se disponga".

El grupo de ciberestafas recuerda la importancia de no facilitar bajo ningún concepto datos personales ni contraseñas. “Muchas veces utilizarán la urgencia y el miedo a quedarse sin dinero para generar una situación de estrés. Es importante, digan lo que digan, no facilitar nunca datos ni tampoco claves que se puedan recibir a través de SMS a un interlocutor que nos haya llamado”, explica el inspector. Los agentes insisten en la importancia de no revelar nunca dicho código, ni siquiera a su entidad bancaria, y hablan de una reducción de los delitos, de ser víctimas de estafa, con ese simple gesto, de hasta el 40%.

"Tampoco hay seguir links que nos puedan llegar a través de mensajes SMS. Si hay que realizar algún tipo de comprobación de seguridad de alguna alerta que llegue, hay que entrar a través de la propia aplicación de la entidad bancaria en cuestión”. En el enlace está el engaño.