La Guardia Civil y la Policía Municipal de Bilbao, en la denominada operación “Dania”, han detenido a cuatro personas e investigado a otras siete que, mediante el método “Carding”, adquirían fraudulentamente productos tecnológicos de alta gama para su posterior envío y venta en Marruecos. Se les atribuyen los delitos de estafa, blanqueo de capitales y pertenencia a organización criminal.
La investigación comenzó en noviembre de 2023 cuando la Guardia Civil tuvo conocimiento a través de la denuncia del dueño de una distribuidora de telefonía móvil en Valencia. El denunciante había recibido varios pedidos online de dispositivos móviles de alta gama por una cuantía de 9.490 euros y cuyo destino eran las provincias de Bizkaia y Barcelona.
Su empresa de servicios de pago le comunicó que estas transacciones eran sospechosas y posteriormente, una ciudadana danesa le envió un correo electrónico informándole que unos autores desconocidos habían utilizado su tarjeta bancaria para realizar una compra online en su establecimiento, solicitándole urgentemente la anulación de la venta y la devolución de la compra.
Los agentes comenzaron la investigación analizando la documentación aportada por el denunciante, averiguando que los pedidos de telefonía fueron enviados a través de una empresa de paquetería a cuatro direcciones situadas en las localidades vizcaínas de Bilbao, Basauri y Leioa. Comprobaron que los envíos correspondían a los denunciados por el dueño de la empresa valenciana, a su vez, los agentes descubrieron que durante el año 2023 habían realizado un total de 31 pedidos y utilizado 11 líneas de teléfono diferentes como contacto e identidades ficticias para dificultar su rastreo.
Tras un estudio minucioso de las líneas de teléfono y las identidades supuestas, los agentes lograron identificar otros 41 envíos de empresas de venta de tecnología y ubicaron dos establecimientos en Bilbao utilizados para el fraude. Los presuntos autores habían realizado las compras fraudulentas con tarjetas bancarias de víctimas residentes en Dinamarca, Alemania y Noruega, siendo el modus operandi de la organización la obtención de datos personales mediante “Carding”. Procedían a adquirir en webs los productos tecnológicos de alta gama, principalmente terminales móviles de gran valor económico, los cuales tienen una rápida salida en el mercado de segunda mano y no se deprecian económicamente.
Más de 100 tarjetas bancarias
La investigación ha concluido que la organización criminal usó más de 100 tarjetas bancarias de forma fraudulenta, 13 líneas telefónicas diferentes como contacto para las entregas de los paquetes y la participación de al menos once personas y cinco establecimientos para la recogida de los envíos tecnológicos.
Los agentes realizaron cuatro entradas y registros, siendo una en el domicilio del presunto líder de la organización criminal en la localidad vizcaína de Zalla y tres en establecimientos en Bilbao. A su vez, se llevaron a cabo ocho inspecciones en locales de la capital bilbaína y Durango (Bizkaia) y el bloqueo de 17 cuentas bancarias. La coordinación de las entradas realizadas en los establecimientos en la localidad de Bilbao fue fundamental, ya que varios componentes de la organización dormían en los mismos para custodiar los efectos ilícitos.
En total se han intervenido 48 terminales telefónicos sin procedencia lícita, 5.850 euros, tres ordenadores, un iPad, una tablet, cuatro tarjetas SD, 31 SIMs, dos pendrives, 13 permisos de residencia de terceras personas, cinco DNIs de terceras personas, una tarjeta de identidad belga, dos pasaportes de Marruecos, libretas de anotaciones y documentación bancaria de interés.
Cuatro de los miembros de la organización investigados perciben la Renta de Garantía de Ingresos (RGI), ascendiendo las ayudas obtenidas a más de 128.000 euros en los últimos cuatro años. Es destacable que el cabecilla de la organización criminal era el miembro que mayor cuantía cobraba de esta prestación económica.
El método “Carding”
Es un tipo de fraude que utiliza información de tarjetas robadas para usarlas de manera fraudulenta. Los datos que se sustraen son los relativos a dichas tarjetas, de ahí el término de “carding” (card es tarjeta en inglés).
Los ciberdelincuentes realizan compras para probar que los datos robados son verdaderos, ayudados de bots (software que realiza tareas repetitivas), con pequeñas adquisiciones en comercios electrónicos. Este tipo de transacciones suelen pasar desapercibidas para el titular de la tarjeta hasta que se comete una compra mayor, que suele ser el objetivo del fraude.
Cuando los carders, así se llaman a los ciberdelincuentes que realizan este tipo de ataque, dan con datos válidos los organizan en listas a parte para posteriormente venderlos o realizar compras fraudulentas de gran valor. Posteriormente revenden los productos de forma engañosa a otros países, en este caso a Marruecos.
Una forma muy común de obtener estos listados de tarjetas de crédito es a través de la Dark Web, una parte “invisible” de Internet a la que no se puede acceder a través de los navegadores normales y en la que se realizan diferentes actos delictivos, como la compra y venta de bienes y servicios ilegales, entre ellos los números de tarjetas de crédito.