El robo o la estafa no son delitos nuevos, ni mucho menos. Pero hasta la llegada de internet, por lo menos, estos amigos de lo ajeno tenían que poner en riesgo su pellejo para llevar a cabo sus fechorías. Sin embargo, los delincuentes digitales pueden estafar a distancia, las 24 horas del día desde la comodidad de su sofá… o de la habitación de su hotel, como en el caso de Lupin.

Una auténtica historia de cacos y ladrones digna de una novela, que toma su nombre de Arsenio Lupin, el ladrón de guante blanco de las novelas de detectives de Maurice Leblanc.

Y es que precisamente desde un hotel en Madrid el susodicho preparaba una estafa de un millón de euros que quería hacer coincidir con el próximo Black Friday en noviembre.

El ciberdelincuente más buscado en España era un leonés de 23 años que vivía de hotel en hotel para evitar su detención. Y que incluso llegó a suplantar a la Unidad Central Operativa de la Guardia Civil, la que finalmente lo detuvo.

Por el camino, llegó a estafar a miles de personas a través de páginas web fraudulentas y a tener unos ingresos de hasta 300.000 euros al mes.

Todo gracias a los miles de productos y servicios ofertados en sus sitios web (hasta 27 web distintas) que jamás llegaron a sus compradores.

No es la primera vez que se detiene en España a un sujeto de estas características. Hace poco más de un año, en marzo de 2018, se detenía en Alicante a un ucraniano de 34 años. Era el cerebro de Carbanak, la que se puede considerar – hasta el momento – la mayor ciberbanda de la historia. Habrían podido robar unos 10.000 millones de dólares de más de un centenar de instituciones bancarias de todo el mundo.

Lupin no tenía grandes conocimientos informáticos, sus estafas se basaban en el fraude y la ingeniería social (que no es poco). Pero hay que reconocer que los métodos de Carbanak sí eran muy sofisticados técnicamente. A través de un software malicioso conseguían controlar cajeros automáticos. Básicamente… presionando una tecla desde su ordenador en Alicante, un cajero en Rusia empezaba a escupir dinero. 

Y es que, en internet, como ya sabemos, no hay fronteras. Algo que juega en favor de este tipo de cibermafias. Por si fuera poco, la imaginación de este tipo de cibercriminales es muy grande. Como también lo tiene que ser la de las autoridades e investigadores que los persiguen.

Afortunadamente, en nuestro país contamos con esos grandes especialistas que trabajan sin descanso para mantener la red libre de este tipo de estafadores y delincuentes. Uno de ellos es el comandante Óscar de la Cruz Yagüe, Jefe de Operaciones del Departamento de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, quien realizó un profundo análisis de la operación en una entrevista concedida al programa AfterWork en Capital Radio.

Lupin: extremadamente disciplinado

Esta unidad fue la encargados precisamente de llevar a cabo la operación y detención del que es considerado como el mayor ciberestafador de España. Una persona con un perfil psicológico muy peculiar: con un gran ego, inteligente y sobre todo, «muy disciplinado». El cibercriminal no caía en pequeños errores en su modus operandi, en el que su propia seguridad y privacidad eran una máxima. Por ejemplo, le encantaba presumir de sus fechorías, pero solo lo hacía en círculos cerrados, «jamás se le ocurría usar las redes sociales», señala de la Cruz.

Lupin se movía muy bien tanto en el ámbito físico como en el digital, lo que hacía de este caso una operación híbrida muy singular, del que la Guardia Civil reconoce que ha aprendido mucho debido a que les ha llevado a abrir diferentes líneas de investigación.

Siempre un paso por delante

A pesar de que el estafador no era brillante técnicamente, sí contaba con un colaborador, su mano derecha (también detenido y con prisión sin fianza), que sí lo era. Una de las características que destaca de la Cruz respecto a sus métodos de estafa es que «iban perfeccionando sus técnicas constantemente«. Se podría decir que iban un paso por delante.

Por ejemplo, las páginas web que falsificaba (prácticamente idénticas a la original) contaban incluso con HTTPS, y los precios de los productos que ofertaba eran más baratos que la media, pero no llegaban a ser chollos, sabedor de que un precio singularmente bajo podría resultar sospechoso.

Lupin llegaba incluso a consultar foros donde conversaban los afectados por sus fraudes para observar, aprender y mejorar sus técnicas.

Servicio «personalizado»

El modo de pago en sus webs fraudulentas era la transferencia bancaria, ya que actuaba a través de mulas a los que les compraba sus cuentas bancarias.

Si Lupin detectaba que alguno de los clientes de sus webs no había hecho una compra por la imposibilidad de hacerla con tarjeta de crédito, él mismo llamaba por teléfono a los usuarios, usando una técnica que se denomina vishing, similar al phishing, pero a través de una llamada telefónica.

En la conversación les animaba a hacer la compra con tarjeta de crédito, para lo cual tan solo necesitaba el número de dicha tarjeta. A continuación, les instaba a descargarse una aplicación que les permitiría rastrear el envío de su compra. Esa app en realidad lo que hacía era interceptar los SMS de la víctima, de forma que el estafador podía usar la tarjeta de la víctima al poder recibir todos los SMS de sus bancos con los códigos de seguridad.

«Era muy difícil no caer en su trampa«, explica el comandante, «lo tenía todo muy hilado».

Como aspecto importante dentro del caso, resalta la importancia de las denuncias de todos los afectados: «hay que denunciar todas las estafas por internet».

La Guardia Civil ha puesto a disposición de las víctimas una web donde reportar si eres uno de los afectados. 

La entrevista completa se puede escuchar aquí:

Sobre el programa

Todos los lunes a las 18:30, se emite en Capital Radio el espacio sobre ciberseguridad, enmarcado dentro del programa semanal AfterWork, capitaneado por Eduardo CastilloPablo San Emeterio y una servidora, ayudamos a Eduardo a desentrañar los misterios de la seguridad informática.

Para ello, cada semana contamos en directo en el estudio con invitados de diferentes ámbitos de la ciberseguridad, todos ellos reconocidos expertos en sus materias. En cada entrega, abordamos un tema diferente relacionado con este sector: desde ciberseguridad en la empresa, hasta dispositivos móviles, ciberacoso o ciberdefensa.

Ciberseguridad en AfterWork nace de la necesidad que detectamos de promover la cultura de la ciberseguridad. Un espacio divulgativo que tiene el propósito de acercar la ciberseguridad a profesionales de todos los ámbitos, así como al público general. Siempre de una forma amena y desde la sencillez, para que la ciberseguridad sea accesible a todos los oyentes.

Deja un comentario