Tus claves del banco se venden por 4 euros en Telegram: así trafican los 'hackers' con tus datos

La mujer se presentó en la comisaría de Algeciras y contó que había sido víctima de un fraude. Alguien se había hecho pasar por ella para ampliar el crédito de la tarjeta de fidelidad de unos grandes almacenes. Al mismo tiempo, esa persona la llamó para pedirle que devolviera el dinero de esa ampliación de crédito porque, decía, se lo habían concedido por error. Ella lo transfirió creyendo que se lo devolvía a la compañía, pero se lo ingresó a un ciberdelincuente que los había engañado a los dos.

Los agentes examinaron la denuncia y la convirtieron en un cabo del que tirar. Pronto llegaron a la primera lazada: había 197 casos idénticos por todo el país en un mes. Y se toparon con el nudo (así bautizaron la operación): una cooperativa de 'hackers' que lo mismo estafaban 1,9 millones a una tienda de tecnología que le sacaban 200 euros a una madre con el timo del hijo en apuros. «Tocaban todos los palos», afirma el subinspector Antonio Silva, jefe del Grupo de Delitos Tecnológicos de Algeciras, que trabajó al alimón con el Grupo de Fraude Empresarial de la Unidad Central de Ciberdelincuencia de la Policía Nacional.

Entre los 34 detenidos se encuentran varios de los ciberdelincuentes más peligrosos del país, que habrían protagonizado –aseguran los investigadores– algunas de las estafas más notorias de 2022 y 2023 en España. Los policías les atribuyen unas 1.100 denuncias, a falta aún de analizar los dispositivos informáticos intervenidos en la redada, que se simultaneó el 9 de octubre en cinco provincias: Málaga, Huelva, Murcia, Alicante y Madrid, y en la que participaron 200 policías. Los ciberdelincuentes manejaban datos personales de cuatro millones de usuarios y habrían amasado en estafas un botín superior a los tres millones.

La cooperativa, afirman los investigadores, nació en Telegram, donde ha emergido un auténtico «mercado de la cibercriminalidad». La aplicación alberga chats abiertos –puede acceder cualquiera– con centenares o incluso miles de miembros donde están a la venta todas las herramientas necesarias para perpetrar las estafas. No sólo eso: también es un punto de encuentro. «Esos canales hacen que los 'hackers' se relacionen y coordinen los ciberataques», explica Silva. A su juicio, el anonimato, esa sensación de impunidad –por la seguridad y privacidad de Telegram– y la facilidad de acceso tienen mucha culpa de que en España se hayan disparado las ciberestafas, que han crecido un 72% entre 2019 y 2023.

Para deshacer el nudo, antes hay que establecer un glosario de términos. En Telegram trafican con 'leads', que son los datos personales de usuarios obtenidos por los ciberdelincuentes gracias a alguna brecha de seguridad en una empresa o mediante campañas masivas de phishing (envíos de SMS con enlaces para pescar tus datos bancarios). Se compran y se venden en paquetes (cada millar es un 1k) en canales abiertos y públicos de Telegram. Un 'lead' sale por 3 o 4 euros si es «fresco» –es decir, si la contraseña se acaba de vulnerar– y lo ofrece un 'hacker' con reputación. «Si ya ha pasado por muchas manos, se puede revender por 50 céntimos, incluso menos», explica el subinspector de Delitos Tecnológicos.

El 'lead' es el ingrediente clave de la estafa. Sin él, no hay víctima. Uno de los detenidos, un chaval de 18 años que reside en Huelva, tenía 3.842.000 'leads'. Siguiendo la aritmética básica, poseía dos millones de euros, como mínimo, en información de potenciales perjudicados. En el organigrama del nudo que presenta la policía, el joven sería uno de los principales expertos en robo de datos, que es la especialidad delictiva que goza de mayor prestigio en la comunidad. En apariencia, un chico normal, sin antecedentes, que pasaba muchas horas en su cuarto delante de un ordenador. «En este mundillo, la mayoría son autodidactas. No les ha dado ni tiempo a estudiar una carrera, pero son capaces de utilizar tres lenguajes de programación. Han aprendido jugando al ordenador», explica Silva.

Cuando hablan de paneles, los ciberdelincuentes se refieren a los sistemas necesarios para monitorizar en tiempo real las estafas y avisar al 'hacker' de que alguien ha picado. En los canales de Telegram está a la venta el resto de herramientas: suplantar la identidad del banco, obtener logos que imitan la imagen corporativa de la entidad o incluso 'spywares' con los que conseguir las claves de las víctimas. En Alicante, la policía arrestó a un joven de 28 años, con antecedentes por hechos similares, que supuestamente se dedicaba a elaborar paneles, aunque, según la investigación, también habría participado directamente en algunas de las estafas.

Pero uno de los principales especialistas en perpetrarlas era, según los agentes, un chaval de 20 años que fue detenido en Málaga. Supuestamente, él estaría detrás de las últimas campañas masivas de 'phishing' a clientes de banca online. También lo consideran un «veterano» en el mundillo: el grupo del subinspector Silva cree que el detenido llevaba actuando desde los 16 años. Por las conversaciones estudiadas, era un «personaje» en Telegram y gozaba de una «reputación de calidad» ganada con el tiempo. «Cuando anunciaba que tenía algo, la gente lo creía», apostillan los investigadores. Un chico introvertido, sin antecedentes ni problemas con la justicia, que pertenecía a una familia sin apuros económicos. Vivía con sus padres en una casa de la zona Este. Los policías hallaron 70.000 euros guardados en una caja fuerte.

Cuando una víctima mordía el anzuelo, entraba en escena el 'spoofer', que es el ciberdelincuente que te llama por teléfono y que consigue embaucarte para obtener tus claves. En Murcia detuvieron a un hombre de 33 años al que consideran uno de los principales 'spoofers' de España. Un tipo locuaz y resuelto a la hora de convencerte de que, por tu seguridad, marques tus contraseña en el móvil en vez de dárselas a él, «que hay mucho ciberdelincuente suelto», advierte. Lo que no sabes es que usa un 'spyware' que identifica los dígitos que marcas por el sonido de las teclas del teléfono.

El 'spoofer' murciano actuaba presuntamente por cuenta propia o por cuenta ajena. Ahí es donde entra en juego la cooperativa: es un trabajo coordinado, como si tres o cuatro vampiros saltaran a la vez sobre tu cuello. «Mientras uno va descargando datos y enviando mensajes, otro observa en el panel que has picado y el 'spoofer' te llama», cuenta Silva.

En Telegram todo esto está sucediendo ahora mismo, mientras lee este artículo:

–«Nuevas listas 2022/2023. Leads específicos. Pregunta por tu banco», escribe un miembro del grupo de Telegram.

–«En venta panel de empresa, para acceder a datos de empleados, partes diarios, resumen mensual, nóminas», ofrece otro.

–«Necesito drop para 10k», pide un tercero.

Para los 'hackers', «necesito drop para 10k» significa que te hacen falta cuentas corrientes para recibir 10.000 euros procedentes de estafas. En Marbella cayó el supuesto 'droper' de la cooperativa, un ciudadano venezolano (42 años) que se movía en un Mercedes valorado en 80.000 euros y que podía gastar 100.000 euros en apenas seis meses. Utilizaba una identidad ficticia italiana porque llevaba seis años en busca y captura y tenía 14 órdenes requisitorias dictadas por juzgados españoles.

El papel del 'droper' detenido en Marbella consistía en recibir el dinero del fraude y «monetizarlo», explican los investigadores, que lo consideran uno de los especialistas más fuertes de España. Disponía presuntamente de una red de cuentas en bancos abiertas a nombres de 'mulas' para canalizar el dinero que las víctimas ingresaban, engañadas, y convertirlo en criptomonedas.

Otro término para el glosario. Mulas digitales: personas que aportan su identidad para abrir cuentas corrientes y ponerlas al servicio de ciberdelincuentes. «Las cuentas se están convirtiendo en bienes escasos», aclara el jefe de Delitos Tecnológicos de Algeciras. Antes era más sencillo porque bastaba con un DNI, «pero ahora es más difícil abrirlas, porque los bancos aplican sistemas de doble e incluso triple verificación: DNI, selfie y foto por sorpresa». Las mulas pueden ser conniventes, a cambio de una comisión de 5 o el 10% del dinero que mueven, o no ser ni conscientes de que su DNI se ha usado para estafar, como le ocurrió a una pensionista de Rincón de la Victoria que no tenía ni ordenador.