Selecciona Edición
Selecciona Edición
Tamaño letra

Desarticulada una red que ‘hackeaba’ cuentas de altos directivos de empresa

La policía detiene a 44 personas; mediante la 'estafa del CEO' habrían robado millones de euros

Agentes especializados en la lucha contra delitos informáticos.

El correo provenía de un contacto. Le invitaba a abrir un "interesante" enlace casi de manera irremediable. Clic, clic. Ya habían picado el cebo. Ante el ejecutivo de la empresa, normalmente, alguien encargado de realizar importantes transferencias bancarias, una página conocida. Mejor dicho, un espejo de una página conocida —"Google drive, o cualquiera otra de acceso a documentos de la nube", señala el investigador—, que te pide que introduzcas tus credenciales para ver el "interesante" documento. Picó.

Es la técnica básica del fishing y es la que usaba una sofisticada red de estafadores teledirigidos desde Nigeria. La policía, tras dos años de investigación, ha detenido a 44 personas, 43 en España y una en Reino Unido. Quince eran nigerianos, el resto españoles. Los primeros eran los que pescaban al CEO de la empresa, de ahí el nombre que recibe esta clase de estafa: ·Estafa del CEO" o Business Email Compromise en inglés. Los segundos hacían de mulas o de facilitadores de contratos falsos para lograr cobrar el dinero en los bancos sin despertar sospechas.

Los estafadores, ya con acceso a sus correos electrónicos, se hacían pasar por los ejecutivos de las empresas cuando se dirigían a los gestores de las cuentas bancarias con los que solían mantener contactos. Les hacían partícipes de una urgencia y les apremiaban a hacer una transferencia de entre 400.000 y 800.000 euros. De este modo pudieron haber robado hasta 50 millones de euros, según los agentes de la Unidad de Investigación Tecnológica (UIT). Pero la desconfianza de los bancos o la imposibilidad de lograr un falso contrato que les permitiera extraer el dinero en efectivo, redujo la estafa a unos dos millones de euros.

El destino final de lo estafado era Nigeria, donde viven los jefes de la red. La mayor parte de los detenidos tenían antecedentes penales por otras estafas y hasta por trata de mujeres y llevaba tiempo residiendo en España. De los 17 registros realizados, tres se han producido en el Reino Unido y el resto en las provincias de Madrid y Toledo. En un trastero de un aeropuerto londinense que ocultaban gran cantidad de dinero en efectivo para enviarlo posteriormente a Nigeria.

Los agentes han intervenido 200.000 euros en efectivo, 12.820 dólares en metálico, 10.000 libras y 500.000 euros que han quedado bloqueados en tres bancos, procedentes de las últimas transferencias fraudulentas recibidas. Además, se han decomisado once vehículos en España y uno en Londres, 35 ordenadores, 80 móviles, 20 tabletas y abundante documentación.

Dos años de investigación

Las investigaciones comenzaron en noviembre de 2014 con la denuncia interpuesta por un ciudadano pakistaní al cual le habían estafado, supuestamente, 34.000 euros tras el hackeo de su cuenta bancaria y habiendo transferido el dinero a una cuenta en España. El cruce de datos con otras denuncias similares llevó a los agentes a darse cuenta de que se encontraban ante una organización criminal con varios cabecillas y un claro reparto de tareas entre todas las personas que la constituían. Algunos de los líderes, de origen nigeriano, eran extremadamente celosos en sus acciones, ocultando su verdadera identidad en sus acciones.

Avanzadas las pesquisas, los investigadores pudieron comprobar en octubre del año pasado el claro aspecto cibercriminal que tenían en su modus operandi, el cual consistía en hackear las cuentas de correo electrónico de directivos de empresas mediante el conocido método de spear phishing. Esta modalidad de estafa que se transmite a través del correo electrónico tiene como finalidad obtener acceso no autorizado a datos confidenciales. El elemento diferencial con las estafas de phishing, que lanzan amplios ataques masivos, es que el spear phishing centra su objetivo en una organización o grupo específico.

Así obtenían los credenciales de las cuentas de correo electrónico de altos directivos para monitorizar y analizar sus gestiones económicas y, a través de ellas determinar si les servían o no en función de los trámites económicos que realizaran. Un vez que tenían acceso a sus correos electrónicos, enviaban un correo malicioso desde este a todos los contactos que tuviera en la cuenta y que fueran de la misma responsabilidad. En dicho mensaje simulaban haber compartido un documento en servicios de almacenamiento en la nube, para cuyo acceso habría que introducir el usuario y la contraseña. Una vez capturadas las credenciales simulaban un error en la descarga para evitar que sospechasen que los datos de acceso a su cuenta habían sido sustraídos. Detrás se encontraban los estafadores para conseguir nuevas credenciales y llevar a cabo la misma operación desde otros correos, transmitiéndose en cadena y multiplicando el número de potenciales víctimas.

“Estafa del CEO” o Business Email Compromise

Este modus operandi está teniendo una gran incidencia a nivel internacional debido a su gran efectividad, bajo riesgo para los cibercriminales y los grandes beneficios obtenidos. Una vez que los estafadores cuentan con el control de acceso a las cuentas de correo de las víctimas, pueden ocurrir dos cosas. En ocasiones, los delincuentes directamente suplantan la identidad de los titulares de la cuenta y operan directamente con las entidades bancarias de las empresas. Para ello es necesario que se tenga conocimiento de que la víctima y la entidad bancaria operan a través de dicho correo electrónico, conocimiento que se tiene por parte de los autores a través de la monitorización realizada de las comunicaciones de la víctima.

En otras ocasiones los estafadores hacen un seguimiento de los movimientos de la cuenta de correo comprometida en busca de transacciones que estén en proceso de realizarse con clientes o proveedores de la empresa. Para culminar el fraude intervienen en el último momento, mediante el envío de un correo en el que suplantan la identidad de la cuenta monitorizada, y una vez se han acordado las contraprestaciones del contrato, para modificar la cuenta destinataria de la contraprestación económica del negocio alegando problemas con la entidad original. De este modo, consigue provocar un error suficiente por parte de la víctima a la hora de realizar la transferencia, acabando el dinero en una cuenta controlada por la organización.

Más de 135.000 euros ocultos en bolsas de basura entre la ropa de una maleta

El devenir de las investigaciones llevó a los policías a dar con siete individuos que regentaban un locutorio en la localidad madrileña de Móstoles que recepcionaban todo el dinero en metálico y organizaban los envíos a Nigeria en vuelos semanales. Uno de estos envíos fue interceptado en el aeropuerto Adolfo Suárez-Madrid Barajas, donde fueron intervenidos más de 135.000 euros en billetes camuflados en bolsas de basura enrolladas y ocultas entre la ropa interior de una maleta facturada en la bodega de un avión.

Además, gracias a la colaboración policial internacional se ha podido simultanear la investigación con ramificaciones de la organización en otros países como Nigeria, Estados Unidos, Reino Unido, Turquía y Malta, donde multitud de empresas se están viendo afectadas por este tipo de estafa.

La operación ha sido dirigida por el Juzgado Instrucción número uno de Valdemoro y se ha llevado a cabo por el Grupo VIII de la UCRIF de la Brigada Provincial de Extranjería y Fronteras de la Jefatura Superior de Policía de Madrid y el Grupo de Seguridad Lógica de la Brigada Central de Seguridad Informática de la UIT de la Comisaría General de Policía Judicial. Los agentes han contado con la colaboración de la Agencia Tributaria y de la Fiscalía Especializada en Criminalidad Informática.

El método “Euro a Euro”, una variante de la 'Hawala'

La organización, perfectamente estructurada, estaba compuesta por un lado por los hackers, cuyo cometido es obtener las credenciales de acceso a los correos electrónicos, principalmente de empresas que realicen habitualmente grandes transferencias bancarias internacionales. Por otro están las “mulas”, que son captados por miembros de la cúpula y que a cambio de una comisión facilitaban una “cuenta puente” para recibir las transferencias ilícitas. Además, estaban también las “mulas cualificadas” encargadas de convencer a personas allegadas para que también actuaran como intermediarios. La gran mayoría de estos miembros eran ciudadanos españoles, administradores de medianas empresas, que aportaban las cuentas bancarias a nombre de las personas jurídicas de las que eran titulares.

A estos miembros se suman los “facilitadores”, que proveían de documentación falsa a las “mulas” para justificar ante las entidades bancarias la procedencia de las cuantiosas transferencias recibidas y que éstas no fueran devueltas a la entidad emisora.

En el último escalón de la estructura criminal se encuentran los “transportistas”, que hacían llegar los beneficios a su destino final mediante el conocido método “Euro a Euro”, una variante de la Hawala, utilizado por las organizaciones delictivas integradas por ciudadanos de nacionalidad nigeriana. Dicho procedimiento consiste en depositar el efectivo en un “punto de entrega” en el lugar de origen —un establecimiento comercial de productos africanos o un locutorio—, recibiendo a cambio un código con el que poder retirar el dinero en el país de destino, en este caso, Nigeria. El responsable de este punto de entrega recibe una comisión por la gestión y, además, coordina una red de envíos constantes de dinero a través de personas que viajan de forma periódica a Nigeria, con el dinero oculto en su equipaje o en el interior de su organismo, a cambio de un porcentaje.

Se adhiere a los criterios de The Trust Project Más información >