La operación «Osgiliath», llevada a cabo por la Guardia Civil en colaboración con autoridades internacionales, ha marcado un paso más en la lucha contra el fraude tecnológico al desmantelar una red criminal que operaba a gran escala desde diversas localidades de España y otros países europeos. En una compleja investigación se ha revelado el método principal del fraude, el ‘Man in the middle’, que ha afectado a más de cien víctimas en dieciocho países, causando pérdidas de más de un millón de euros.
El método principal de fraude utilizado por la red criminal es conocido como ‘Man in the Middle’ (MitM), un tipo de ciberataque donde los delincuentes se infiltran en la comunicación entre dos partes, como un proveedor y su cliente. Mediante la interceptación de emails, los estafadores suplantan la identidad de una de las partes para modificar los detalles de pago, dirigiendo las transferencias hacia cuentas bancarias bajo su control. Además, en un giro sutil, se hacen pasar por el cliente para solicitar prórrogas de pago al proveedor, extendiendo así el tiempo para cometer su engaño sin ser detectados.
Esta técnica, parte del fraude BEC (Business Email Compromise), ha mostrado su efectividad y es un llamamiento de atención sobre la vulnerabilidad de las comunicaciones empresariales frente a los ciberdelincuentes
Diversos métodos de Engaño
Además del «Man in the Middle», la organización empleaba otras tácticas fraudulentas para variar sus métodos de engaño y extender sus ganancias ilegales. Creaban sitios web falsos anunciando la venta de vehículos, maquinaria agrícola y viviendas de vacaciones. Estos sitios, que mostraban precios competitivos y utilizaban información real de empresas legítimas, eran solo una fachada para capturar la atención de posibles compradores. Una vez establecido el contacto inicial, los estafadores solicitaban información personal y pagos adelantados, que nunca resultaban en la entrega del producto prometido.
Otro método de engaño incluía la difusión de ofertas de empleo falsas. Los candidatos interesados eran engañados para que proporcionaran sus datos personales con la promesa de un contrato de trabajo, que luego eran utilizados para actividades delictivas adicionales, como la apertura de cuentas bancarias o la solicitud de créditos.
Para manejar el flujo de dinero obtenido de forma ilícita, la organización contaba con una red de «mulas» financieras a las que abonaba comisiones que iban desde los 50 hasta los 1.500 euros. Estas personas, a menudo engañadas o coaccionadas para participar, recibían transferencias de dinero que luego retiraban de cajeros automáticos o invertían en criptomonedas. Parte de este dinero era también transferido a cuentas en Malta y Lituania, en un intento de lavar los fondos y dificultar su rastreo.
Detenciones y recuperación del dinero
El impacto de esta operación criminal ha sido significativo, con víctimas en numerosos países europeos. Sin embargo, la rápida acción de la Guardia Civil y sus socios internacionales ha permitido la recuperación de una parte de los fondos estafados, con más de 114.000 euros recuperados y la intervención de 153 cuentas bancarias.
La Guardia Civil ha detenido a 30 personas en diversas localidades de Andalucía, Cataluña, Madrid, Murcia y Toledo, a las que se les atribuye la estafa de más de un millón de euros a víctimas de diferentes países. Dos de los cabecillas del grupo han sido detenidos en Getafe y Barcelona.
Se ha identificado además a otros 40 presuntos autores, la mayoría residentes en España, y también en Croacia, Hungría, Inglaterra, Marruecos, Nigeria, Pakistán y Rumanía, de cuyas identidades se ha dado cuenta al Juzgado que entiende de la causa, y a las autoridades de esos países.
Han sido localizados más de 100 afectados en España, Alemania, Andorra, Bélgica, Bulgaria, Ecuador, Eslovenia, Finlandia, Holanda, Hungría, Irlanda, Italia, Lituania, Polonia, Portugal, Reino Unido, República Checa y Rumanía, a los que la organización criminal ha estafado en apenas un año.
