La foto de boda que abrió la "caja de Pandora" del 'consultor' camerunés de la ciberdelincuencia

No tenían mucho de donde tirar, aunque los agentes se habían enfrentado a investigaciones con menos información, por lo que había que intentarlo. Sobre la mesa, una foto de boda. Una imagen cotidiana, pero llena de matices. Con el novio luciendo un llamativo traje color azul y plata y una especie de corbata victoriana anudada al cuello. Su pareja, de riguroso blanco, como manda la tradición. Junto a ellos, una de esas tartas de diseño que son el leitmotiv de los docurealities que destacan en los canales digitales. Y un único dato sobre la vida de ambos: la chica de la instantánea era peluquera.

Este es un momento culmen de una importante investigación que comenzó la primavera del pasado año y que ha permitido a los investigadores del Grupo de Ciberdelincuencia de la Comisaría Provincial de Málaga detener a un unicornio dentro del cibercrimen. Un antiguo empleado de banca camerunés que, desde su domicilio de Benalmádena, dirigía una auténtica consultoría de ciberdelincuencia en la que se realizaban ataques, se facilitaban "identidades sintéticas" a otros delincuentes que operan en la red y se canalizaban flujos de dinero para blanquearlos. Un tipo que tenía en su poder la "caja de Pandora": 759 gigabytes, 1,2 millones de archivos, 1.400 NIE falsos, 400 pasaportes, bancos de datos de fotos de carné y huellas dactilares y plantillas de casi cualquier documento público que pueda imaginar.

TE PUEDE INTERESAR

Así trafican con tus datos las mafias para después estafarte: hasta un millón por un listado

Alejandro Requeijo

"Es tal la información recabada que se ha habilitado una base de datos —teléfonos, cuentas bancarias, nombres de empresas...— de exclusivo acceso que puede ayudar a abrir nuevos casos", explica Andrés Román, inspector jefe al frente de la unidad que ha llevado esta importante investigación, en la que se han conjugado herramientas tecnológicas con técnicas clásicas —como vigilancias o seguimientos— que han permitido atrapar "al que probablemente sea el falsificador de referencia de la comunidad subsahariana y uno de los más reputados de España".

La operación Mogador, especifica este mando policial, "nos ha dado acceso a las entrañas del ciberbelincuencia" por la capacidad de información obtenida. "En nuestra área de investigación, todo es muy etéreo. Nosotros no cogemos droga, nuestro objetivo son los datos", describe, para seguidamente señalar que, "en pocas ocasiones", dentro de esta casuística delictiva, "llegamos al líder. "Y en esta ocasión, lo hemos conseguido".

La investigación partió de una simple denuncia. "De pequeños actos, pueden surgir grandes operaciones", señala el jefe del caso

Pero, como nada es lo que parece en este tipo de investigaciones, los distintos estadios por los que fueron pasando los responsables del caso se fueron trasformando en una revelación. Las pesquisas se iniciaron tras la denuncia de los propietarios de una empresa del sector de la alimentación a los que habían estafado 13.000 euros con el sistema man in the middle, el método de ataque preferido contra las compañías porque reportan elevados beneficios a los autores. "En este caso concreto, un proveedor de la sociedad estafada había sido infectado con un programa malicioso de tipo troyano. Este software permitió a los ciberdelincuentes tener el control del correo electrónico de dicho proveedor y, a continuación, remitir un falso e-mail con los datos de cuenta cambiados para que el negocio pagara a la red criminal en lugar del distribuidor", precisó la Comisaría Provincial.

Una mula y una foto

Las pesquisas de los agentes determinaron que parte de la cantidad estafada había ido a parar a un individuo que, además de proseguir con el flujo del dinero entre cuentas, realizaba compras y extracciones de dinero en cajeros automáticos. "Eso nos hizo cambiar de opinión. De pensar desde un principio que era una mula financiera, que se sitúan en el escalafón inferior de las organizaciones, comenzamos a valorar que pudiese ser un hombre importante", señala el inspector jefe, que añade que las gestiones en los distintos establecimientos les permitieron obtener una instantánea sin mascarilla.

"Lo único que sabíamos de él es que se movía por la barriada de La Palmilla, así que pedimos ayuda a la Brigada de Seguridad Ciudadana y un día nos informaron de que había sido detenido". Se trataba de un tipo de 31 años y origen nigeriano, cuya importancia en la red era minúscula —cobró 600 euros que le entregó su captador—, pero que indirectamente condujo a los agentes hacia el líder.

En el teléfono móvil conservaba muchas conversaciones a través de una aplicación de mensajería y en una de ellas se encontró una llamativa fotografía nupcial. Los protagonistas eran el cabecilla de todo el entramado y su esposa, que acabaría siendo detenida por su presunta vinculación con operaciones de blanqueo de capitales.

Como en las organizaciones de ciberdelincuencia apenas hay contacto entre sus distintos componentes, seguir tirando del hilo en este ámbito suele ser estéril, por lo que los investigadores se centraron en la figura de la novia. Sabían que era peluquera, así que se pusieron a rastrear la red en busca de establecimientos de estética en la Costa del Sol enfocados a una clientela subsahariana. Esta labor les condujo hasta un negocio situado en Benalmádena y el análisis de las redes sociales de las personas vinculadas al mismo confirmó sus sospechas. La propietaria tenía en su galería de imágenes fotografías del enlace. Era ella la novia.

La peluquería fue el punto de partida de unos seguimientos que permitieron ubicar el domicilio familiar y el paso previo a un dispositivo de vigilancia que ayudó a perfilar a los distintos actores del entramado. Los agentes conocieron que la pareja tenía hijos y llevaba asentada en España muchos años. Conocieron sus horarios y comprobaron que el cabeza de familia "no tenía historia laboral". El negocio de la mujer, aparentemente, tampoco generaba lo suficiente como para mantener el domicilio y otros gastos fijos, por lo que los policías concluyeron que debían tener otra vía de ingresos.

TE PUEDE INTERESAR

Los ciberdelincuentes también esperan los fondos UE: la 'estafa al CEO' es su arma

Pablo D. Almoguera. Málaga

La primera fase de la operación Mogador se llevó a cabo el pasado otoño y se saldó con el arresto de la mula, el captador —otro varón nigeriano cuya función consistía en reclutar a los intermediarios y facilitarles los denominados kit de blanqueo— , el líder y su esposa. Se les imputaron los delitos de estafa, falsificación documental, blanqueo de capitales y pertenencia a organización criminal.

El cabecilla, un antiguo empleado de banca en Camerún, con conocimientos para desenvolverse en el ámbito digital, se encontraba en casa cuando los agentes llamaron a su puerta para detenerlo. "Estaba trabajando" y en ese momento utilizaba los equipos informáticos a través de una conexión VPN a internet, un servicio legal muy utilizado por los ciberdelincuentes y que facilita el anonimato.

Policialmente era un tipo "virgen", no tenían ningún antecedente, "solo un asunto de Extranjería", por eso se quedó "noqueado" cuando vio por qué era investigado. En el registro de su vivienda se pudo intervenir numeroso y relevante material documental e informático para realizar falsificaciones: impresoras multifunción y de serigrafía, máquina troqueladora, plastificadora, varios ordenadores portátiles, discos duros, numerosos teléfonos móviles, decenas de tarjetas telefónicas, los denominados kits de blanqueo, documentación falsificada y una ingente cantidad y variedad de documentos digitales.

En el momento de la primera detención, el principal investigado tenía en su poder al menos 3.000 “identidades sintéticas”

Un total de 759 gigabytes de información en forma de 1.200.000 archivos de donde se pudieron extraer miles de documentos falsificados: más de 1.400 documentos NIE; numerosos DNI falsos, así como las plantillas para su confección; 368 documentos de identidad de extranjeros; certificados de empadronamiento, Vida Laboral y covid; contratos de trabajo y facturas; documentos que utilizaban en estafas propias o que vendían a otras organizaciones afines; y fotos carné y logos de administraciones públicas, lotería española, colegios de abogados y de un amplio número de empresas.

Divisiones de negocio

"Pensábamos que era un falsificador de identidades, pero supimos que estábamos ante el líder cuando abrimos la caja de Pandora" que suponen todos esos archivos hallados en los ordenadores, los discos duros o los pendrives. "Era la joya de la corona, un diamante en bruto por toda la información que acumulaba", sostiene Andrés Román, que añade que esto les permitió conocer al detalle el modus operandi de alguien que desde su casa había creado una especie de "consultaría de la ciberdelincuencia".

El arrestado, en primer lugar, "realizaba ciberataques", y para ello se había hecho —probablemente, en la dark web— con un listado de datos de 1,5 millones de víctimas potenciales a las que bombardear con correos electrónicos para presuntamente cometer fraudes de lotería o cartas nigerianas.

Otra de las divisiones de su negocio delictivo eran las falsificaciones. Un servicio que ofrecía, tanto de forma digital como física. El investigado tenía en su poder al menos 3.000 "identidades sintéticas", que son aquellas en las que se combinan información real con falsa. "Por ejemplo, la foto del documento puede ser auténtica, pero los datos del titular inventados".

Esta documentación era vendida a otros ciberdelincuentes que eran conocedores de su pericia y que utilizaban para cometer sus delitos. Uno de los casos más llamativos detectados por los agentes es una estafa del amor de la que fue víctima una mujer del norte del país. En tan solo 20 días, transfirió más de 70.000 euros a un supuesto médico destinado por la ONU en Ucrania en misión humanitaria y del que se había enamorado a través de Internet. El delincuente se hizo pasar por un cirujano plástico turco experto en rinoplastia y, según se desprende de las conversaciones con la estafada, "logró crear un vínculo emocional" para que no adoptase las mínimas precauciones. Le realizó un total de ocho transferencias. "Fue un trabajo artesanal en el que un dulce sueño acabó convirtiéndose en un prosaico ciberdelito", resume el inspector jefe.

TE PUEDE INTERESAR

'Hacker busca anfitrión en Airbnb': la última trampa para lavar dinero 'online'

M. MC.

Para confeccionar la documentación falsa, el arrestado contaba con un amplio archivo de retratos obtenidos de fuentes abiertas o currículos obtenidos con falsas ofertas de trabajo, que iba modificando con programas como Photoshop o CorelDraw para poder reutilizar una misma imagen. Al mismo individuo te lo podías encontrar con el pelo corto o largo, con barba o sin ella o distintos tonos de piel. El reciclaje de huellas dactilares también era una práctica habitual. La misma podía ser empleada en varios documentos a nombre de distintas personas.

"No sabemos por cuánto vendía cada falsificación, pero de lo que estamos seguros es de que es un referente en este ámbito", explica el mando policial, que apunta a que la documentación incautada abre la vía a nuevas investigaciones sobre la utilización de esos certificados y documentos.

Hasta el momento, se les imputan un total de 108 fraudes, aunque esta cifra puede elevarse porque las víctimas se extienden por Europa

El tercer ámbito en el que operaba la red era el ciberblanqueo. El líder gestionaba 122 cuentas bancarias, de las que únicamente una estaba a su nombre. Otra, al de su mujer. La hipótesis policial era que cobraba una parte por hacer 'desaparecer' el dinero moviéndolo a través de los depósitos hasta borrar su rastro.

Los beneficios obtenidos por la organización criminal rondan los dos millones de euros, habiendo sido bloqueados 108.556 euros en un total de 144 cuentas abiertas por el entramado.

Hasta el momento, los agentes han atribuido a la organización 108 fraudes cometidos a través de las nuevas tecnologías, incluidos una decena de timos del amor, cinco estafas relacionadas con falsos premios de lotería y falsas herencias procedentes de un familiar desconocido, y 93 fraudes con la modalidad man in the middle.

TE PUEDE INTERESAR

Un gobierno lanzando ciberataques: así se está intentando parar a los 'hackers' rusos y chinos

Mario Escribano

Se ha podido localizar a más de 100 víctimas de toda España y países como Alemania, Suiza, Austria, Italia, Luxemburgo, Eslovenia y Polonia. Aunque se prevé que la información compartida a través de Europol pueda incrementar esta cifra notablemente.

El principal imputado, al igual que el resto, quedó en libertad tras ser puesto a disposición judicial. Entre otras cosas, porque se le acusó de dos hechos delictivos: el fraude a la empresa de alimentación y a otra compañía. Pero el estudio de toda la información hallada en su vivienda sustanció una segunda detención en febrero. También sorteó la prisión, a pesar de que esa vez las víctimas superaban el centenar. "Sabemos que tras el primer arresto, volvió a las andadas. Y estamos seguros de que ahora está operando otra vez". "Es su trabajo", concluye el jefe del grupo.