La Policía Nacional desarticula una organización criminal especializada en las estafas mediante smishing, phishing y vishing

La Policía Nacional ha detenido en Torrejón de Ardoz a siete personas por estafas mediante smishing, phishing y vishing. Realizaban envíos masivos de SMS en los que suplantaban a gestores bancarios y a la propia página web de la entidad financiera. El método utilizado era el denominado OTP (One Time Password), una clave temporal y única generada para cada transacción y remitida a través de un SMS. Mientras mantienen a la víctima al teléfono, los estafadores realizan operaciones fraudulentas desde la banca digital y le solicitan los códigos de verificación para consumar la estafa.

La investigación se inició a principios del mes de septiembre tras detectarse la existencia de esta organización criminal, que operaba en la Comunidad de Madrid y otras demarcaciones del país.

La organización criminal cometía estafas en línea mediante el envío masivo de SMS y la suplantación de gestores y páginas web bancarias. El análisis de los hechos permitió confirmar que se trataba de un grupo con una estructura jerárquica definida y roles claramente diferenciados, lo que evidenciaba una organización sólida y una alta coordinación en la ejecución de las estafas.

Dentro de la estructura existían varios niveles: los líderes y ejecutores materiales, con un alto conocimiento en informática, software y tecnologías de comunicación; los captadores y recaudadores, encargados de identificar y reclutar a nuevos miembros; y, por último, las "mulas", cuya función era ceder sus cuentas bancarias para recibir los fondos ilícitos.

El modus operandi de los autores comienza cuando la víctima recibe un SMS en el que se le informa de una supuesta incidencia grave con su cuenta bancaria e incluye un enlace fraudulento conocido como "smishing". Al acceder a él, es redirigida a una página web que imita la de su entidad bancaria, técnica conocida como "phishing". Posteriormente, la víctima recibe una llamada de un individuo que se hace pasar por empleado del banco. Durante la conversación, el estafador aporta datos personales como filiación, domicilio o movimientos bancarios para reforzar la credibilidad de su historia, modalidad conocida como "vishing".

Aunque los autores tenían control sobre la banca digital de la víctima, la normativa exige un sistema de verificación en dos pasos para operaciones superiores a las habituales. En este caso, se utilizaba un OTP (One Time Password), una clave única y temporal enviada por SMS para cada transacción.

Mientras la víctima permanecía al teléfono con los estafadores, estos realizaban movimientos fraudulentos y solicitaban los códigos de verificación, consumando así la estafa.

Gracias a la labor de investigación, se ha logrado la detención de siete miembros de esta organización criminal, como presuntos autores de los delitos de estafa, blanqueo de capitales, acceso ilícito informático y pertenencia a organización criminal, pasando todos ellos a disposición judicial.