Esta macroperación contra los SMS fraudulentos que simulan ser de un banco, se ha desarrollado durante todo este año, y se ha extendido a otros países como Bélgica, Estonia, Francia, Italia, Lituania y Malta, donde los detenidos tenían cuentas bancarias con el dinero obtenido ilícitamente.
El objetivo era provocar acciones fraudulentas que conllevaban el saqueo de importantes cantidades de dinero en sus cuentas. Para blanquear el dinero obtenido, contaban con una red de mulas que solían ser delincuentes ya investigados por hechos similares.
En lo que va de año, la Guardia Civil ha recibido sólo en Cantabria más de mil denuncias por delitos de este tipo. En esta operación, hay un total de 350 víctimas identificadas. Al facilitar el acceso a la banca online pulsando los enlaces, estas personas autorizan involuntariamente al delincuente a realizar transferencias y otros envíos de dinero.
Cuando el sistema de seguridad de la entidad bancaria exige confirmar la operación con un código de seguridad -vía SMS-, desde los grupos criminales entablan conversación con los clientes haciéndose pasar por empleados bancarios reales, consiguiendo fácilmente los códigos de seguridad que validan la operación.
Durante el transcurso de la gestión, la víctima cree estar corrigiendo o reparando fallos de seguridad detectados por el propio banco. Sin embargo, está facilitando rápidamente todos los datos que le solicitan y autorizando involuntariamente la sustracción de su dinero.
Las comunicaciones de los delincuentes se suelen realizar en horarios en los que no hay posibilidad de llamar a entidades bancarias abiertas, transcurriendo en muchas ocasiones durante la noche o en fin de semana.
La operación Paketokas ha sido desarrollada por el Equipo@ de la Guardia Civil en Cantabria. Los detenidos están investigados por los delitos de estafa, pertenencia a organización criminal y blanqueo de capituales.
Las principales técnicas delictivas empleadas han sido:
Smishing: los perjudicados reciben un SMS, supuestamente de la entidad bancaria de la que son clientes, donde les informan de una incidencia en su cuenta bancaria, adjuntando un enlace para su resolución. Las víctimas pinchan el enlace, siendo redirigidos a una página similar con la que no están familiarizados y les solicitan una serie de datos, que realmente facilitan el acceso de los delincuentes a su banca online.
El vishing consiste en llamar al perjudicado, haciéndose pasar por empleado de la entidad bancaria de la que son clientes, informando de que se está produciendo una incidencia en su cuenta bancaria, y que va a recibir un SMS, que debe facilitar al interlocutor para resolver la incidencia. Una vez facilitado el código recibido, por parte del perjudicado, permite autorizar la operación denunciada.
Para ganarse la confianza de los perjudicados, utilizan el spoofing, técnica que consiste en que la llamada telefónica se realiza desde un número enmascarado, que se presenta ante el receptor como procedente de la entidad bancaria de confianza.