"Hackeaban" los mails de directivos de empresas para estafarles millones

  • La Policía lleva a cabo 43 detenciones en España
  • Se ha desmantelado una rama de apoyo al blanqueo formada en su mayoría por empresarios españoles

Agentes de la Policía Nacional han desarticulado una organización internacional que se dedicaba a "hackear" cuentas de correo electrónico de altos directivos de empresas para cometer estafas millonarias. Se trata del último método de fraude a nivel internacional conocido como "Estafa del CEO" o "Business Email Compromise". Han sido detenidas 44 personas -43 en España y una en Reino Unido-, entre las que se encuentran los 17 máximos responsables de la trama. Entre todos los arrestados hay una gran cantidad de empresarios españoles que formaban parte de la rama de apoyo al blanqueo.

De los 17 registros realizados, tres se han producido en el Reino Unido y el resto en las provincias de Madrid y Toledo.

En un trastero de un aeropuerto londinense que ocultaban gran cantidad de dinero en efectivo para enviarlo posteriormente a Nigeria.

Las cantidades estafadas van de los 20.000 euros hasta 1.800.000 euros, situándose sobre los 600.000 la mayoría de estafas cometidas.

CORREOS MALICIOSOS PARA CAPTURAR CREDENCIALES

Las investigaciones comenzaron en noviembre de 2014 con la denuncia interpuesta por un ciudadano pakistaní al cual le habían estafado, supuestamente, 34.000 euros tras el hackeo de su cuenta bancaria y habiendo transferido el dinero a una cuenta en nuestro país. El cruce de datos con otras denuncias similares llevó a los agentes a darse cuenta de que se encontraban ante una organización criminal con varios cabecillas y un claro reparto de tareas entre todas las personas que la constituían. Algunos de los líderes, de origen nigeriano, eran extremadamente celosos en sus acciones, ocultando su verdadera identidad en sus acciones.

Avanzadas las pesquisas, los investigadores pudieron comprobar en octubre del año pasado el claro aspecto cibercriminal que tenían en su modus operandi, el cual consistía en hackear las cuentas de correo electrónico de directivos de empresas mediante el conocido método de "spear phishing". Esta modalidad de estafa que se transmite a través del correo electrónico tiene como finalidad obtener acceso no autorizado a datos confidenciales. El elemento diferencial con las estafas de phishing, que lanzan amplios ataques masivos, es que el spear phishing centra su objetivo en una organización o grupo específico.

Así obtenían los credenciales de las cuentas de correo electrónico de altos directivos para monitorizar y analizar sus gestiones económicas y, a través de ellas determinar si les servían o no en función de los trámites económicos que realizaran. Un vez que tenían acceso a sus mails, enviaban un correo malicioso desde éste a todos los contactos que tuviera en la cuenta y que fueran de la misma responsabilidad. En dicho mensaje simulaban haber compartido un documento en servicios de almacenamiento en la nube, para cuyo acceso habría que introducir el usuario y la contraseña. Una vez capturadas las credenciales simulaban un error en la descarga para evitar que sospechasen que los datos de acceso a su cuenta habían sido sustraídos. Detrás se encontraban los estafadores para conseguir nuevas credenciales y llevar a cabo la misma operación desde otros correos, transmitiéndose en cadena y multiplicando el número de potenciales víctimas.

ESTAFA DEL CEO

Este modus operandi es conocido a nivel internacional como la "Estafa del CEO" o "Business Email Compromise" (BEC) el cual está teniendo una gran incidencia debido a su gran efectividad, bajo riesgo para los cibercriminales y los grandes beneficios obtenidos. Una vez que los estafadores cuentan con el control de acceso a las cuentas de correo de las víctimas, pueden ocurrir dos cosas. En ocasiones, los delincuentes directamente suplantan la identidad de los titulares de la cuenta y operan directamente con las entidades bancarias de las empresas. Para ello es necesario que se tenga conocimiento de que la víctima y la entidad bancaria operan a través de dicho correo electrónico, conocimiento que se tiene por parte de los autores a través de la monitorización realizada de las comunicaciones de la víctima.

En otras ocasiones los estafadores hacen un seguimiento de los movimientos de la cuenta de correo comprometida en busca de transacciones que estén en proceso de realizarse con clientes o proveedores de la empresa. Para culminar el fraude intervienen en el último momento, mediante el envío de un correo en el que suplantan la identidad de la cuenta monitorizada, y una vez se han acordado las contraprestaciones del contrato, para modificar la cuenta destinataria de la contraprestación económica del negocio alegando problemas con la entidad original. De este modo, consigue provocar un error suficiente por parte de la víctima a la hora de realizar la transferencia, acabando el dinero en una cuenta controlada por la organización.

La organización, perfectamente estructurada, estaba compuesta por un lado por los hackers, cuyo cometido es obtener las credenciales de acceso a los correos electrónicos, principalmente de empresas que realicen habitualmente grandes transferencias bancarias internacionales. Por otro están las "mulas", que son captados por miembros de la cúpula y que a cambio de una comisión facilitaban una "cuenta puente" para recibir las transferencias ilícitas. Además, estaban también las "mulas cualificadas" encargadas de convencer a personas allegadas para que también actuaran como intermediarios. La gran mayoría de estos miembros eran ciudadanos españoles, administradores de medianas empresas, que aportaban las cuentas bancarias a nombre de las personas jurídicas de las que eran titulares.

A estos miembros se suman los "facilitadores", que proveían de documentación falsa a las "mulas" para justificar ante las entidades bancarias la procedencia de las cuantiosas transferencias recibidas y que éstas no fueran devueltas a la entidad emisora.

En el último escalón de la estructura criminal se encuentran los "transportistas", que hacían llegar los beneficios a su destino final mediante el conocido método "Euro a Euro", una variante de la "Hawala", utilizado por las organizaciones delictivas integradas por ciudadanos de nacionalidad nigeriana. Dicho procedimiento consiste en depositar el efectivo en un "punto de entrega" en el lugar de origen -un establecimiento comercial de productos africanos o un locutorio-, recibiendo a cambio un código con el que poder retirar el dinero en el país de destino, en este caso, Nigeria. El responsable de este punto de entrega recibe una comisión por la gestión y, además, coordina una red de envíos constantes de dinero a través de personas que viajan de forma periódica a Nigeria, con el dinero oculto en su equipaje o en el interior de su organismo, a cambio de un porcentaje.

135.000 EUROS OCULTOS EN BOLSAS DE BASURAS

El devenir de las investigaciones llevó a los policías a dar con siete individuos que regentaban un locutorio en la localidad madrileña de Móstoles que recepcionaban todo el dinero en metálico y organizaban los envíos a Nigeria en vuelos semanales. Uno de estos envíos fue interceptado en el aeropuerto Adolfo Suárez-Madrid Barajas, donde fueron intervenidos más de 135.000 euros en billetes camuflados en bolsas de basura enrolladas y ocultas entre la ropa interior de una maleta facturada en la bodega de un avión.

Además, gracias a la colaboración policial internacional se ha podido simultanear la investigación con ramificaciones de la organización en otros países como Nigeria, Estados Unidos, Reino Unido, Turquía y Malta, donde multitud de empresas se están viendo afectadas por este tipo de estafa.

En total han sido detenidas 44 personas, 43 en España y una en Reino Unido. Además, se han llevado a cabo 17 registros domiciliarios, 14 en nuestro país y dos en Reino Unido gracias a la especial implicación en la investigación de la Unidad de Cibercrimen de TITAN (Policía de Investigación de Crimen Organizado de la Región del Noroeste de Reino Unido). Uno de los registros realizado en la capital inglesa tuvo lugar en el trastero de uno de los aeropuertos londinenses que los arrestados utilizaban como almacén de dinero en efectivo para enviar el dinero a Nigeria.

Los agentes han intervenido 200.000 euros en efectivo, 12.820 dólares en metálico, 10.000 libras y 500.000 euros que han quedado bloqueados en tres bancos, procedentes de las últimas transferencias fraudulentas recibidas. Además se han decomisado once vehículos en España y uno en Londres, 35 ordenadores, 80 móviles, 20 tabletas y abundante documentación.

La operación ha sido dirigida por el Juzgado Instrucción número uno de Valdemoro y se ha llevado a cabo por el Grupo VIII de la UCRIF de la Brigada Provincial de Extranjería y Fronteras de la Jefatura Superior de Policía de Madrid y el Grupo de Seguridad Lógica de la Brigada Central de Seguridad Informática de la UIT de la Comisaría General de Policía Judicial. Los agentes han contado con la colaboración de la Agencia Tributaria y de la Fiscalía Especializada en Criminalidad Informática.