La Guardia Civil frena una estafa de 2,2 millones a una empresa madrileña

La Guardia Civil ha logrado evitar una estafa que superaba los 2,2 millones de euros, la cual estaba dirigida a una empresa de Madrid. Los ciberdelincuentes habían conseguido iniciar seis transferencias fraudulentas hacia cuentas en el extranjero a través de un ataque de smishing, que es cuando un SMS se hace pasar por un mensaje de la entidad bancaria de la víctima. Según la información oficial, la rápida denuncia a través de medios digitales y la intervención de la Cibercomandancia fueron fundamentales para bloquear el dinero a tiempo.

Un SMS que parecía del banco

Según la Guardia Civil, todo comenzó cuando la directora financiera de la empresa recibió un mensaje de texto que parecía venir de su banco. En ese SMS se advertía sobre un supuesto cargo de 4.900 euros realizado por una empresa de Hong Kong y se instaba a actuar de inmediato para cancelarlo si no se reconocía. El mensaje incluía un enlace.

Una web falsa que imitaba a la banca online

Al hacer clic en él, la víctima fue llevada a una página que imitaba la apariencia de la banca online de su entidad. Convencida de que se trataba de un aviso legítimo, introdujo su clave de acceso y la clave de firma de operaciones. Ese fue, precisamente, el punto clave del engaño: los delincuentes utilizaron esas credenciales para realizar movimientos bancarios de gran cantidad.

Seis transferencias de entre 250.000 y 500.000 euros

Según el comunicado oficial, los estafadores lograron ordenar seis transferencias desde dos cuentas bancarias de la empresa afectada, con montos que oscilaban entre 250.000 y 500.000 euros, dirigidas a seis cuentas en otros países de la Unión Europea. El total superaba los 2,2 millones de euros.

• La operación Cibermot y el bloqueo del dinero

La investigación se enmarca en la operación “Cibermot”, llevada a cabo por el Equipo @ de la Guardia Civil. Los investigadores analizaron el modus operandi, rastrearon las operaciones y solicitaron el bloqueo preventivo de las transacciones. La entidad bancaria detuvo los movimientos y, según la propia Guardia Civil, no pasaron más de 24 horas entre la orden de las transferencias y su bloqueo.

• La denuncia inmediata fue clave

Uno de los puntos más destacados de este caso es que el responsable de la empresa presentó una denuncia en línea tan pronto como notó los movimientos sospechosos, y además, adjuntó los extractos bancarios. La Guardia Civil enfatiza que esa rapidez fue crucial para poner en marcha la investigación y solicitar el bloqueo de los fondos antes de que se esfumaran a través de una red internacional de cuentas.

• Por qué actuar rápido marca la diferencia

Este detalle es especialmente relevante porque, en fraudes de este tipo, el tiempo juega en contra de la víctima. Cuando el dinero se transfiere a cuentas en el extranjero y comienza a moverse entre diferentes destinos, recuperarlo se vuelve mucho más complicado. Esta es una conclusión razonable basada en la propia explicación oficial, que indica que los delincuentes intentaban dificultar el rastro y la recuperación del dinero mediante un entramado de cuentas en varios países.

Qué es el smishing y por qué sigue siendo efectivo

La Guardia Civil define el smishing como una forma de fraude en la que se envían SMS o mensajes de mensajería instantánea que parecen provenir de entidades legítimas, a menudo bancos, y que apelan a la urgencia o a una amenaza inminente para provocar una reacción impulsiva. Estos mensajes suelen incluir un enlace o un número de teléfono fraudulento.

Qué recomienda INCIBE ante un SMS sospechoso

INCIBE también aclara que, si se recibe un mensaje de texto sospechoso, no se debe responder ni hacer clic en el enlace, y que en caso de duda, se debe contactar con la organización supuestamente remitente a través de sus canales oficiales, nunca a través del propio SMS.

Lo que este caso deja claro

Este caso pone de manifiesto que no solo los particulares son el blanco. También las empresas, incluso a través de empleados con acceso a recursos financieros, son objetivo de campañas bien diseñadas que aprovechan la rutina, la presión y la confianza en comunicaciones que parecen normales.

Nunca verifiques nada desde el enlace del SMS

El mensaje deja una lección muy clara: nunca debemos tratar un SMS del banco como una orden urgente que nos obligue a actuar de inmediato a través del enlace que recibimos. Si un mensaje nos pide que introduzcamos claves, firmemos operaciones o revisemos cargos “de inmediato”, lo más sensato es cortar con el engaño y verificar la información por otro medio independiente. Esta recomendación está en línea con los consejos oficiales de la Guardia Civil y de INCIBE.

Consejos para evitar caer en un fraude similar

La Guardia Civil aconseja desconfiar de los SMS que provienen de supuestas entidades bancarias, no hacer clic en enlaces, no utilizar los números de teléfono que aparecen en el mensaje, no proporcionar claves de banca online ni datos de tarjetas por teléfono o mensajería, y denunciar de inmediato si ya hemos sido víctimas de un engaño.

Una medida extra de protección para empresas

Además, hay una medida práctica muy útil para las empresas: limitar al máximo la posibilidad de que una sola persona complete un proceso crítico sin una doble verificación. Aunque esta recomendación no se menciona explícitamente en la nota, es una conclusión sensata a partir de cómo ocurrió el fraude: el acceso y la firma de operaciones se vieron comprometidos tras introducir credenciales en una página web falsa.

Advertencia final de InfoEstafas

El caso de la empresa madrileña ilustra hasta qué punto un simple SMS puede desencadenar un fraude millonario. No se necesitó un malware complicado ni una llamada larga: solo hizo falta un mensaje convincente, una web clonada y unos segundos de presión psicológica. La buena noticia es que, en esta ocasión, la denuncia fue rápida y se pudo bloquear el dinero. La mala es que este método sigue siendo muy efectivo y puede afectar tanto a usuarios particulares como a negocios.

Si recibes un SMS de tu banco que te presiona, menciona cargos sospechosos o incluye un enlace para “verificar” algo, no hagas clic. Entra tú mismo desde la app oficial o llama al número auténtico de la entidad. Esa pequeña diferencia puede evitarte un gran problema.

Fuentes consultadas

• Guardia Civil. La Guardia Civil evita una estafa de 2,2 millones de euros gracias a una denuncia telemática (fuente oficial).
• Europa Press. La Guardia Civil evita una estafa electrónica de 2,2 millones en 24 horas tras una denuncia telemática.
• INCIBE. Smishing — guía oficial sobre este tipo de fraude por SMS.

Sobre el autor
Joan Torras es fundador de InfoEstafas.com y responsable editorial del proyecto. Redacta y revisa contenidos sobre estafas online, fraudes digitales y prevención en internet.