La Guardia Civil arrestó al creador de los kits de phishing más usados en el entorno hispanohablante, conocido como “GoogleXcoder”, quien ofrecía servicios completos de estafa digital bajo el modelo “Crime as a Service”. La operación contó con apoyo internacional y la colaboración de expertos en ciberseguridad.
La Guardia Civil española anunció esta semana el desmantelamiento de una de las redes de ciberdelincuencia más activas en Europa dedicada al robo masivo de credenciales bancarias. La operación culminó con la detención de un ciudadano brasileño de 25 años, identificado como “GoogleXcoder”, considerado el principal desarrollador y proveedor de kits de phishing en el mundo hispanohablante.
El detenido encabezaba el grupo conocido como “GXC Team”, una organización que operaba bajo el modelo de Crime as a Service (CaaS), en cual ofrecía a otros cibercriminales una serie de herramientas para ejecutar campañas de fraude digital. Según la Guardia Civil, el grupo ofrecía un “servicio completo de phishing”, con diseño de plantillas que clonaban páginas de bancos y organismos estatales, soporte técnico, actualizaciones y personalización a medida.
“El arresto de GoogleXcoder neutraliza a un facilitador clave de este ecosistema criminal y supone un golpe importante contra el suministro de herramientas usadas en fraudes bancarios a gran escala”, señaló la empresa de ciberseguridad Group-IB, que colaboró con las autoridades en la investigación.
La operación se desarrolló tras un año de trabajo conjunto entre el Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil, la Policía Federal de Brasil y especialistas de Group-IB. Como parte de la operación, se realizaron seis registros simultáneos en distintas localidades de España -Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción- donde se incautaron dispositivos electrónicos, criptomonedas y documentación técnica.
De acuerdo con la investigación, los clientes de “GoogleXcoder” accedían a sus servicios mediante canales de Telegram, pagando cientos de euros diarios por el uso de herramientas capaces de clonar decenas de portales bancarios o gubernamentales. Uno de los grupos utilizados para coordinar las estafas llevaba el irónico nombre “Robarle todo a las abuelas”.
El análisis forense de los dispositivos confiscados y de las transacciones en criptomonedas permitió reconstruir la estructura de la red y vincular a seis personas más con la distribución y explotación de los phishing kits. Las autoridades también lograron cerrar los canales de comunicación y difusión que la organización utilizaba para ofrecer sus productos.
La Guardia Civil explicó que “la complejidad del análisis de las transacciones y de los sistemas utilizados por el detenido hizo que la investigación se prolongara durante más de un año”, destacando que el joven llevaba una vida de “nómada digital”, cambiando frecuentemente de residencia y utilizando identidades falsas para evitar su localización.
Según los investigadores, los kits desarrollados por el grupo fueron empleados para ataques contra bancos, empresas de transporte y plataformas de comercio electrónico en España, Brasil, Reino Unido, Eslovaquia y Estados Unidos. Además de las herramientas de phishing, el grupo habría desarrollado al menos nueve tipos de malware para Android y sistemas automatizados de llamadas falsas con soporte de inteligencia artificial.
La Guardia Civil informó que la investigación continúa abierta y que “no se descartan nuevas detenciones” relacionadas con el uso de estos servicios en campañas de fraude bancario masivo.