Agents de la Policia Nacional han detingut a 11 ciberdelinqüents que, presumptament, haurien estafat més de 2.400.000 euros a empreses i particulars de múltiples països. Els arrestats per delictes d’estafa, blanqueig de capitals i pertinença a organització criminal, feien fraus a través de les noves tecnologies valent-se de mètodes d’enginyeria social.
S’han detectat més de 150 comptes bancaris dels que s’haurien valgut per a defraudar a empreses situades en Itàlia, República Txeca, els Estats Units, Líban, la Xina, el Kazakhstan o Països Baixos. Utilitzaven tècniques de phishing i la coneguda com a ‘estafa del CEO’, que consistix a enganyar a un empleat d’alt rang d’una empresa amb un email que simula ser del seu cap —CEO, president o director—, en el que es demana fer una suposada operació financera confidencial i urgent, que en realitat té per destinatari als estafadors. La tècnica que presumptament va ser utilitzada en l’estafa de l’EMT de València.
‘Mules’ i ‘hòmens de palla’ com a intermediaris per a ocultar el seu rastre
La investigació va començar a mitjan 2018 quan els agents van rebre informació a través de denúncies que, gràcies a l’eficaç coordinació internacional, va determinar l’existència d’un grup organitzat de ciberdelinqüents especialitzats en dos modalitats de frau: el phishing i l’estafa del CEO.
Els investigadors van estudiar els diferents mitjans de cobrament utilitzats pels ciberdelinqüents i van detectar més de 150 comptes bancaris que constituïen una complexa xarxa d’intermediaris i ‘mules’. D’ells es valdria l’organització per a ocultar l’origen fraudulent dels diners obtinguts i, a demés, dificultar la identificació dels destinataris finals de les quantitats adquirides de manera il·lícita.
Gràcies a l’anàlisi de la informació recaptada, els investigadors van identificar a un total de 16 persones situades en Palma (1), Maspalomas (1), Eivissa (2) i València (12). Finalment, 11 d’elles han sigut detingudes com a presumptes autores de delictes d’estafa, blanqueig de capitals i pertinença a organització criminal. Les cinc persones restants han sigut imputades com investigades.
Un escenari fictici per a que la víctima revele la informació
La denominada ‘estafa del CEO’ és una modalitat delictiva que es caracteritza perquè, a diferència del phishing, la víctima té un perfil establit: un empleat amb accés als recursos econòmics d’una empresa i que ha sigut estudiat i seleccionat prèviament sobre la base dels objectius dels delinqüents.
Bàsicament l’estafa consistix en que un empleat d’alt rang o el comptable de l’empresa amb capacitat per a fer transferències o accés a dades de comptes bancaris, rep un correu electrònic, presumptament del seu cap, ja siga el seu CEO, president o director de la companyia. En este missatge, li demana ajuda per a fer una operació financera confidencial i urgent. Si el treballador no és conscient de l’engany pot revelar dades sensibles als estafadors o directament transferir-los fons.
Per part seua, el phishing es basa com l’estafa anterior en tècniques d’enginyeria social, consistix en l’enviament massiu d’emails fent-se passar per una entitat de la confiança de la víctima, un banc, una gran empresa o una entitat pública. En estos missatges existix un enllaç en el que es desvia a la víctima a una pàgina falsa en la que se sol·licita la introducció de contrasenyes i dades personals o bancàries que poden donar l’accés i control dels seus servicis bancaris i financers a terceres persones.
