A finales de la semana pasada, agentes de la Policía Nacional pertenecientes a la Brigada Provincial de Policía Judicial de la Jefatura Superior de Asturias han procedido a la identificación de al menos siete individuos de diversas nacionalidades y detención de varios de ellos en la provincia de Alicante por cometer estafas mediante phishing o smishing.

La investigación se inicia, a raíz de la recepción en el Grupo de Delincuencia Económica y Tecnológica de varias denuncias con datos coincidentes, e idéntico modus operandi.

En todas las denuncias se producen operaciones fraudulentas de clientes de la misma entidad bancaria, produciéndose los cargos por los presuntos autores de los hechos mediante compras abonadas con aplicaciones de pago a través de terminales telefónicos, tales como Apple Pay o Samsung Pay, a las cuales vinculan las tarjetas bancarias cuyos datos han sido captados previamente a las víctimas.

Es común en todas ellas que las operaciones se han producido en las zonas de Alicante, Murcia y Almería, realizándose compras en estancos, salones de juego, establecimientos de ropa o joyerías.

La inmensa mayoría de los denunciantes habían sido víctimas de la modalidad delictiva conocida como phishing o smishing, es decir, la utilización de técnicas de ingeniería social y otras basadas en programas informáticos, con el fin de captación de datos bancarios (tarjetas, credenciales de cuentas, etc.) y posterior explotación de estos.

Este modus operandi se basa en el envío masivo de miles de SMS a ciudadanos que los reciben en sus smartphone. En ellos se le explica que, por motivos de seguridad, mantenimiento o mejora en el servicio, debe actualizar los datos de su cuenta bancaria. Este mensaje imita perfectamente el diseño (logotipo, firma, etc.) utilizado por la entidad bancaria para comunicarse con sus clientes.

El mensaje puede incluir un formulario para enviar los datos requeridos o por el contrario incluir en el propio mensaje un enlace a una página donde actualizar la información personal.

En el segundo de los casos, enlace a página web, el diseño de esta es idéntico a la legítima de la entidad bancaria y su dirección (URL) es parecida e incluso puede ser igual, aprovechando en este último caso un fallo de seguridad de algunos navegadores.

Cuando el usuario que ha recibido este mensaje accede a través del enlace a la supuesta página de la entidad bancaria, observa que el diseño es idéntico por lo que no sospecha del fraude. Con toda confianza la víctima introduce sus credenciales bancarias o la numeración y código CVC de su tarjeta de crédito o debito, pensando que se trata de un mensaje legítimo de su entidad.

Una vez introducidas las claves de acceso por el usuario, estas son obtenidas por los delincuentes. Posteriormente, se van a utilizar para realizar compras a través de aplicaciones de pago instaladas en terminales telefónicos, tales como Apple Pay o Samsung Pay, a las cuales vinculan las tarjetas bancarias.

25 víctimas

El montante defraudado, estima la Policía Nacional, sobrepasaría los 24.000 euros, con un total de víctimas afectadas superior a las 25 víctimas.

Finalmente, y a raíz de las gestiones de investigación que ha realizado este Grupo, se ha procedido a la identificación de al menos siete individuos de diversas nacionalidades, procediendo a la detención de tres de ellos en la provincia de Alicante, uno en demarcación de Policía Nacional y los otros dos en demarcación de Guardia Civil. Se han intervenido varios teléfonos móviles utilizados para dichos pagos y dinero en efectivo.