La mafia italiana se pasa al cibercrimen desde Tenerife
Una operación de la policía española con más de cien detenidos muestra por primera vez cómo estas organizaciones criminales tradicionales prueban estas nuevas modalidades de delitos
La Policía Nacional anunció esta semana la detención de 106 personas por estafas informáticas en el sur de Tenerife vinculadas a distintos clanes mafiosos de Italia. Entre ellas había cinco sofisticados cibercriminales que preparaban las operaciones de fraude por internet. La actividad principal del grupo era el blanqueo de dinero en España procedente de ataques centrados en Italia y Alemania. La banda contaba con mulas locales que abrían cuentas corrientes en distintos bancos. En colaboración con la italiana Polizia dello Stato, las autoridades han descubierto que el grupo trabajaba in...
La Policía Nacional anunció esta semana la detención de 106 personas por estafas informáticas en el sur de Tenerife vinculadas a distintos clanes mafiosos de Italia. Entre ellas había cinco sofisticados cibercriminales que preparaban las operaciones de fraude por internet. La actividad principal del grupo era el blanqueo de dinero en España procedente de ataques centrados en Italia y Alemania. La banda contaba con mulas locales que abrían cuentas corrientes en distintos bancos. En colaboración con la italiana Polizia dello Stato, las autoridades han descubierto que el grupo trabajaba indistintamente con distintos clanes de Roma, Nápoles o la región de Puglia: Casamonica, Camorra, Nuvoletta y Sacra Corona Unita.
“Lo más sorprendente de esta operación”, dice Beatriz Gómez Hermosilla, inspectora y jefa del grupo de Fraude empresarial de la Unidad Central de Ciberdelincuencia, “es que hemos podido comprobar que la mafia se está transformando para la era digital”. Gómez Hermosilla, que cuenta los detalles de la operación por teléfono a EL PAÍS, dirigió el dispositivo que hizo 16 registros desde el centro de coordinación de mando en Tenerife. Las investigaciones empezaron en junio de 2020 y en ese período el grupo había logrado blanquear 10 millones de euros de estafas informáticas.
El objetivo principal del grupo de Tenerife era el blanqueo. El dinero venía a cuentas españolas, que creaban con mulas, vecinos de la isla usados exclusivamente para abrir cuentas bancarias por internet con sus nombres y para que asumieran el riesgo. Los italianos usaban documentación falsa. La policía detalla el caso de una mujer que fue obligada a abrir 50 cuentas a punta de pistola. Una vez hecho esto, el dinero se destinaba a tres cosas: “Una parte la extraían en cajeros, otra parte la metían en criptomonedas y otra la volvían a transferir a terceros países donde había otros miembros de la mafia”, explica Gómez Hermosilla.
El grupo utilizaba recursos de defensa operacional altamente sofisticados y costosos. Cambiaban de número de teléfono, de dispositivo y de residencia cada dos o tres días, lo que obligaba a la policía a usar métodos más complejos de escuchas. La policía no ha dado detalles pero es probable que esos métodos debieran implicar acercarse físicamente sin ser vistos a los sospechosos.
Cuando empezó la investigación la policía española empezó a descubrir gente relacionada con la mafia. Muchos eran fugitivos de la justicia italiana o incluso algunos tenían causas pendientes en juzgados españoles. “Son los compañeros de la Polizia dello Stato los que nos dicen que ocurre algo extraño porque hay personas de distintos clanes que se han agrupado en España para operar. Parece que se han olvidado de su pertenencia a determinados clanes”, dice Gómez Hermosilla.
“Hacían un trabajo muy fino. Tenían en connivencia a un locutorio de un magrebí que les proporcionaba los números sin necesidad de identificarse. Eso ha dificultado mucho la investigación en las observaciones telefónicas. Cambiaban también constantemente de domicilio y cada cuatro días había que comprobarlos”, explica Gómez Hermosilla. La banda usaba tanto móviles de última generación como de tipo BIC, que permiten básicamente solo llamadas. Ambos eran renovados dos veces por semana.
Otra novedad: ‘phishing’ desde España
La operación ofrece otra novedad notable para la policía española. Este tipo de fraudes bancarios por internet se hacen desde países remotos y suelen emplear un español bastante chapucero. No en este caso. “Nunca había visto a un grupo que hiciera phishing desde España. Lo normal es que aparezcan en un país lejano con una jurisdicción particular. No teníamos fe de que íbamos a encontrarlo aquí”, dice Gómez Hermosilla.
La policía así ha tenido así acceso a un botín especial de software con el que los ciberdelincuentes crean estos programas. Las autoridades no pueden compartir los detalles porque esta parte de la investigación sigue bajo secreto de sumario. Uno de los motivos que desató las detenciones fue la cercanía de una nueva gran operación. “Por las observaciones telefónicas oíamos que tenían que hablar con el hacker, que esto debían lanzarlo ya, que iba a reportarles miles de millones. Sabías que preparaban algo gordo pero de ahí a que el hacker estuviera en España planificándolo, pues no”, dice Gómez Hermosilla. Durante el registro los agentes encontraron que los cibercriminales estaban físicamente allí y que el objetivo eran ya ciudadanos españoles.
“Tenían una lista de correos y números de teléfono españoles para mandar sms, aún sin poner en marcha”, dice Gómez Hermosilla. “Hemos podido prevenirlo. Ahora estamos investigando si viene de una venta en la dark web [la parte de internet accesible con aplicaciones específicas como Tor] otro tipo de fuente”, añade. Gómez Hermosilla insiste en la calidad del ataque: el español era correcto, los enlaces parecían legítimos, las páginas de los bancos eran buenas copias. “Lo programaron ellos. Tenían un arraigo fuerte en España porque los phishings están muy bien hechos. Los enlaces reconvertidos eran buenos, mientras otros son muy raros. Esto no lo ha hecho un cualquiera. Estaba hecho con esmero”, dice.
La operación muestra en el fondo la popularización y extensión de los delitos informáticos más comunes y que siguen consiguiendo beneficios con relativo poco esfuerzo. El phishing es un delito en el que la víctima recibe un correo que le lleva a hacer una acción que pone su información en manos de los atacantes: un fraude bancario común es mandar un correo con una alerta de seguridad de un banco, llevar al cliente a una página falsa que copia a la original y animarle a introducir su usuario y contraseña reales.
Este tipo de ataque puede combinarse con el vishing, que es suplantar a una empresa por teléfono para obtener datos privados; o por sms, que se conoce como smishing. Los criminales de Tenerife usaban moduladores de voz en sus ataques. El fraude del CEO consiste en hacerse pasar por el dirigente de una empresa y por teléfono o correo obligar a un administrador a hacer un pago falso.
Todos estos delitos vienen haciéndose desde hace años. La entrada de la mafia en el negocio solo puede perfeccionarlos y ampliar su alcance. “Todos los días surgen películas nuevas en este ámbito, pero en este caso ha sido un triunfo encontrarlo aquí en España porque no se suele encontrar ese tipo de herramientas”, dice Gómez Hermosilla.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.