La Unidad Central Operativa (UCO) de la Guardia Civil ha detenido a un joven brasileño de 25 años considerado el principal proveedor y creador de kits de robo de credenciales en el entorno hispanohablante. Una red usaba sus herramientas para sustraer millones de euros a cientos de personas mediante la suplantación de bancos y organismos públicos.

La Dirección General del instituto armado informó este jueves de la operación 'BigBang' contra el 'phishing' bancario, desarticulando así a una de las organizaciones criminales más activas en España en el uso de estas estafas informáticas.

Según informa EFE, el joven, conocido como GoogleXcoder, ofrecía un servicio completo de 'phishing' a otros delincuentes, vendiendo kits capaces de clonar páginas web de entidades bancarias y organismos públicos.

Millones sustraídos y alcance del fraude

Desde 2023, la Guardia Civil registró una serie de campañas de 'phishing' en España, donde cibercriminales suplantaban a los bancos más importantes del país y a organismos para obtener datos de víctimas. Las numerosas denuncias presentadas por la sustracción de millones de euros ya habían generado alarma social.

El Departamento contra el Cibercrimen de la UCO inició la investigación para "cazar" a los ejecutores y, sobre todo, al "cerebro" que diseñaba las herramientas usadas por numerosos grupos. Las pesquisas identificaron al joven brasileño, creador de la herramienta de clonación, quien además ofrecía personalización, soporte técnico y actualizaciones a los delincuentes.

Los cibercriminales contactaban con GoogleXCoder por Telegram, contrataban sus servicios por cientos de euros al día y explotaban las herramientas de forma abusiva. La Guardia Civil subraya que, en un solo día, podían suplantar a decenas de entidades, engañar a miles y robar millones de euros. La sensación de impunidad llegaba a tal punto que un grupo de mensajería se denominaba "Robarle todo a las abuelas".

Detención y conclusiones de la operación

La persona tras GoogleXcoder era totalmente desconocida a nivel nacional e internacional. Su localización requirió un complejo trabajo operativo debido a que se desplazaba constantemente a distintos domicilios de diferentes provincias. El detenido usaba líneas y tarjetas a nombre de entidades suplantadas para evitar ser detectado, manteniendo una vida como 'nómada digital' junto a su familia.

Fue detenido en San Vicente de la Barquera (Cantabria), donde se le incautaron dispositivos electrónicos que contenían los kits de 'phishing' de todas las entidades, sus cuentas personales y conversaciones con decenas de ciberestafadores.

El análisis forense de los dispositivos intervenidos y las transacciones en criptomonedas se prolongó más de un año. Esto ha permitido reconstruir el entramado delictivo e identificar a seis personas directamente relacionadas con el uso de estos servicios.

La operación, dirigida por un juzgado de San Vicente de la Barquera, concluyó con seis registros. Estos se dieron en domicilios de Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción (Cádiz). En estos registros se intervinieron dispositivos electrónicos y se recuperaron fondos vinculados al dinero sustraído.

La investigación sigue abierta y no se descartan más actuaciones, con los canales de Telegram ya desactivados. La UCO contó con la colaboración de la Policía Federal de Brasil y la empresa de Ciberseguridad Group IB.