La Guardia Civil ha conseguido bloquear de forma preventiva seis transferencias fraudulentas por valor de más de 2,2 millones de euros, que habían sido ordenadas tras una estafa SMS desde las cuentas de una empresa de Madrid hacia destinos internacionales. El caso, enmarcado en la operación “Cibermot”, pone de relieve la creciente sofisticación del fraude digital y la importancia crítica de actuar en las primeras horas tras un incidente.
El ataque comenzó con una técnica tan conocida como efectiva: el smishing, una variante del phishing que utiliza mensajes SMS para engañar a las víctimas.
La directora financiera de la empresa recibió un mensaje que aparentaba proceder de su entidad bancaria. En él se alertaba de un supuesto cargo de 4.900 euros realizado desde Hong Kong, acompañado de un tono de urgencia que instaba a actuar de inmediato para evitar el fraude.
Ese detalle —la urgencia— no es casual. Es uno de los principales vectores psicológicos que explotan los ciberdelincuentes. Al hacer clic en el enlace incluido en el mensaje, la víctima fue redirigida a una página web que replicaba con gran fidelidad el portal de banca online de su entidad. Allí introdujo sus credenciales: usuario, contraseña y clave de firma.
Ese fue el punto de inflexión.
Seis transferencias en cuestión de horas
Con las credenciales comprometidas, los atacantes actuaron rápidamente. En cuestión de horas, ordenaron seis transferencias desde diferentes sucursales de la misma entidad bancaria.
Los importes oscilaban entre los 250.000 y los 500.000 euros, con destino a cuentas en distintos países de la Unión Europea. El objetivo era claro: fragmentar el dinero y dispersarlo internacionalmente para dificultar su rastreo.
La empresa no detectó los movimientos hasta el día siguiente. Para entonces, el fraude ya estaba en marcha.
La clave: una denuncia telemática inmediata
Aquí es donde el caso da un giro.
Nada más detectar las operaciones no autorizadas, el responsable de la empresa presentó una denuncia a través de la sede electrónica de la Guardia Civil. Este paso, aparentemente administrativo, resultó determinante.
La intervención de la Cibercomandancia de la Guardia Civil fue inmediata.
Esta unidad especializada, que opera 24/7 en el ámbito digital, analizó los hechos, confirmó el fraude y activó los mecanismos necesarios para solicitar el bloqueo urgente de las transferencias.
En coordinación con la entidad bancaria afectada, se logró paralizar los movimientos antes de que el dinero saliera completamente del circuito controlable.
El resultado: más de 2,2 millones de euros bloqueados en menos de 24 horas.
Ingeniería social y suplantación: el núcleo del ataque
Desde un punto de vista técnico, el ataque no explotó vulnerabilidades de software, sino debilidades humanas. Es un ejemplo clásico de ingeniería social.
El smishing se basa en tres pilares la suplantación de identidad, cuando el mensaje aparenta ser legítimo, la urgencia para que la víctima actúe sin pensar y el canal alternativo al que se redirige a la víctima controlada por el atacante.
En este caso, la web fraudulenta reproducía con precisión la interfaz del banco, lo que redujo las probabilidades de sospecha. Una vez introducidas las credenciales, los atacantes pudieron operar con total normalidad.
Este tipo de campañas no requieren malware sofisticado ni exploits complejos. Su eficacia radica en la manipulación psicológica y en la calidad del engaño visual.
Rastreo financiero y bloqueo preventivo
Uno de los aspectos más relevantes de la investigación fue la trazabilidad de las operaciones.
Los atacantes intentaron mover el dinero a través de múltiples cuentas en el extranjero, una técnica habitual para blanquear fondos y romper la cadena de seguimiento.
Sin embargo, la rápida intervención permitió identificar las cuentas receptoras, solicitar el bloqueo de las transferencias y llevar a cabo acciones con la entidad bancaria antes de que los fondos se dispersaran.
Este tipo de respuesta requiere no solo capacidades técnicas, sino también una coordinación institucional ágil y eficaz.
