La Guardia Civil, a través del Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO), ha desarticulado una de las organizaciones criminales más activas en el ámbito del phishing en España. La operación culminó con la detención de un joven brasileño de 25 años, conocido en la red como "GoogleXcoder", considerado el principal proveedor de herramientas para el robo masivo de credenciales en el entorno hispanohablante.
La investigación se inició en 2023 ante la proliferación de agresivas campañas de phishing que suplantaban a principales entidades bancarias y organismos públicos, resultando en una gran cantidad de denuncias y millones de euros sustraídos.
Modelo Crime as a Service (CaaS)
"GoogleXcoder" operaba bajo un modelo de Crime as a Service (CaaS), ofreciendo un servicio completo de phishing a otros delincuentes. Este servicio incluía el diseño y la comercialización de kits de phishing capaces de clonar con precisión las páginas web de múltiples entidades. Sus servicios, contratados por cientos de euros al día a través de Telegram, ofrecían personalización, soporte técnico y actualizaciones, evidenciando una estructura criminal profesionalizada.
La magnitud del fraude y la sensación de impunidad eran tales que uno de los grupos de mensajería utilizados por los delincuentes se denominaba “Robarle todo a las abuelas”.
La Investigación y los Registros
La localización del desarrollador fue un proceso complejo debido a su estilo de vida como "nómada digital". El joven se trasladaba recurrentemente entre domicilios de distintas provincias y utilizaba identidades suplantadas y transacciones en criptomonedas.
El registro principal se llevó a cabo en San Vicente de la Barquera (Cantabria), donde se detuvo al joven y se incautaron dispositivos electrónicos clave. El análisis forense, que se prolongó durante más de un año, permitió reconstruir el entramado y llevar a cabo seis entradas y registros en localidades como Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción.
Además de la detención del principal desarrollador, se ha logrado identificar a seis personas relacionadas directamente con el uso de estos kits. Los dispositivos intervenidos contenían los kits de phishing de todas las entidades suplantadas y conversaciones con decenas de ciberestafadores.
La investigación, que contó con la colaboración de la Policía Federal de Brasil y la empresa de ciberseguridad Group IB, sigue abierta y no se descartan nuevas detenciones.
