Un grupo criminal estafa 15.000 euros a una bilbaína utilizando sus datos bancarios por el método 'Fullz'

Un grupo criminal ha estafado a una bilbaína 15.000 euros utilizando sus datos bancarios obtenidos a través del método 'Fullz', es decir, con paquetes de información personal robada. Al menos ocho personas, afincadas en Perú y en Madrid, perpetraron los desfalcos, y para llevarlos a cabo, una de ellas se hizo pasar por una trabajadora de la entidad bancaria de la víctima alertándola que la habían realizado compras sin autorizar para así acceder a su banca online.

Según ha informado la Delegación del Gobierno en Bizkaia, el equipo de la Guardia Civil de Vizcaya, en el marco de la Operación 'Huaca', se encuentra investigando a una banda criminal como presuntos autores de delitos de estafa, blanqueo de capitales y pertenencia a grupo criminal.

La investigación se inició en diciembre de 2023, cuando paralelamente el instituto armado se encontraba estudiando los movimientos bancarios de otra operación de estafa, descubriendo que existía vinculada a los mismos la tarjeta de una titular residente en Bilbao.

Comprobados los datos, se supo que había interpuesta denuncia en Jaca (Huesca) ante Policía Nacional por una presunta estafa bancaria. La mujer recibió un SMS de su supuesto banco que le indicaba que a partir del 1 de agosto no podría utilizar por seguridad su tarjeta bancaria, adjuntando al mensaje un enlace web.

Después acceder a él, recibió un mensaje de alerta, continuando con el trámite que le requería su supuesto banco. Al día siguiente, recibió la llamada de una mujer que se identificaba como trabajadora de la entidad, preguntándole si había realizado compras en Madrid y, tras su negativa, solicitó que accediera a la App de su banca online e introdujese un código en varias ocasiones.

En la App aparecían mensajes de "permiso denegado", "operación no autorizada" y "anulación de tarjeta", por lo que la víctima cortó la llamada. Posteriormente, contactó con atención al cliente de su banco y solicitó la baja de las cuatro tarjetas asociadas a su cuenta.

Posteriormente, comprobó que le habían realizado un total de 23 cargos en las tarjetas descritas por un importe total de 15.221 euros. Una vez estudiada toda la información aportada, la Guardia Civil descubrió que ninguno de los cargos era de pagos a tiendas físicas, sino realizados en tiendas online.

Entre ellos, se encontraban la contratación de vuelos desde Perú, la compra de entradas de distintos espectáculos o la adquisición de terminales móviles de alta gama.

Del análisis de los contratos y cobros, se logró la identificación de personas que habían utilizado un total de nueve líneas telefónicas y siete correos electrónicos distintos, siendo estos manejados, además, por diferentes personas y de forma intercalada en el tiempo.

Los guardias civiles expertos en delitos tecnológicos comprobaron que los delincuentes en esta ocasión habrían utilizado el método 'Fullz' para obtener las credenciales de una víctima y poder realizar las estafas.

El método consiste en lograr las claves de acceso al banco online mediante el envío fraudulento de correos electrónicos, SMS o llamadas telefónicas en las que los autores se hacen pasar por personal de la entidad bancaria del perjudicado.

Una vez adquieren las credenciales, realizan compras online o piden préstamos personales. En el caso de las compras que requieran código de autentificación, se ponen en contacto con el titular alegando problemas en su tarjeta y facilitando este el código que los estafadores necesitan para poder finalizar la compra.

Obtenidas estas credenciales, los datos son vendidos en la 'Dark Web', que proporciona anonimato al delincuente, por lo que no necesariamente es el mismo delincuente el que accede a la banca online. A este tipo de venta de "paquete de datos" se le conoce como 'Fullz' (conjunto de información personal utilizada para apoderarse de una cuenta bancaria). En ellos se incluye el número de tarjeta de crédito/débito, el CVV (código de seguridad de la tarjeta), fecha de expiración, número de cuenta bancaria o claves de acceso a la App.

Concluidos los estudios de los datos obtenidos en este caso, se concluyó que existía un grupo criminal formado por al menos ocho personas, entre los cuales, cinco de ellas se encontrarían en Perú y tres en España, siendo localizados estos últimos en Madrid.

Desplazados los investigadores a la capital, los estafadores fueron investigados por supuestos delitos de estafa, blanqueo de capitales y pertenencia a grupo criminal. Para ello, se solicitó colaboración internacional a los efectos de completar las identidades de los autores restantes. La causa la dirige el Juzgado de Instrucción número 3 de Bilbao (Vizcaya).