La detención de un joven brasileño en San Vicente de la Barquera (Cantabria, 3.985 habitantes) en febrero de 2024 dio a la Guardia Civil la llave para desmantelar, más de un año después, “una de las organizaciones más activas” del país que se hacía pasar por bancos o empresas para robar información confidencial como datos bancarios o números de tarjetas de crédito.
El detenido, que se movía en la red bajo el nombre de GoogleXcoder, es considerado “el principal proveedor de herramientas para el robo masivo de credenciales en el entorno hispanohablante”. Los ciberdelincuentes contrataron sus servicios a través de la aplicación de mensajería Telegram y crearon grupos con nombres tan descriptivos como “Robarle todo a las abuelas”. En la operación denominada Bigbang también fueron detenidos seis de sus asociados en Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción.
En uno de los dispositivos interceptados en GoogleXcoder encontraron rastros de 1.000 colaboradores. Según las investigaciones, el hacker Les vendió sitios haciéndose pasar por bancos o empresas por unos 300 euros y les permitió utilizarlos por un tiempo limitado, que podía ser de dos o tres días. Por ese precio también les ofrecía algún tipo de servicio técnico ante cualquier posible problema.
Según fuentes conocedoras de la investigación, el joven brasileño logró replicar las páginas de “la mayoría de bancos” y hasta 65 empresas. Usando estos kits, sus clientes enviaban mensajes masivos para ver quién respondía, y una vez que hacían contacto, intentaban obtener la mayor cantidad de información posible de sus víctimas para poder recuperar su dinero.
Investigadores de la Unidad de Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil recurrieron a GoogleXcoder para buscar el cerebro que desarrolló las herramientas utilizadas por los grupos cibercriminales para cometer fraudes. Habían notado que se habían llevado a cabo campañas agresivas en los últimos dos años. phishing, Técnicas de fraude en línea que engañan a las víctimas para que revelen información personal y descubren que la persona que se esconde bajo este nombre estaba ofreciendo «servicio completo» a otros delincuentes en esta forma delictiva.
En un solo día, sus kits permitieron hacerse pasar por varias decenas de criaturas, engañar a miles de personas y robar millones de euros. «Sus servicios incluían personalizaciones, soporte técnico y actualizaciones», dijo el jueves la Guardia Civil en un comunicado.
El joven detenido no tenía antecedentes penales y llevaba una “vida nómada digital” junto a su pareja y su hijo. Mantuvo un perfil discreto y cambió frecuentemente de domicilio en distintas provincias de España. Los agentes finalmente le detuvieron en la ciudad cántabra, donde le incautaron numerosos dispositivos electrónicos. phishing de todas las entidades suplantadas, sus cuentas personales y conversaciones con decenas de ciberestafadores.
El análisis de los dispositivos y transacciones de criptomonedas reveló que otras seis personas también fueron detenidas y fueron vinculadas al uso de estos servicios.
La operación liderada por el Juzgado de Instrucción número 1 de San Vicente de la Barquera acabó con seis registros en domicilios de Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción, donde también se intervinieron dispositivos electrónicos y se recuperaron fondos relacionados con el dinero sustraído a las víctimas en diversas plataformas digitales guardados.
Durante el desarrollo de la investigación se contó con la colaboración de la Policía Federal de Brasil y la empresa de ciberseguridad Group IB.
