Sucesos

La Policía Nacional desarticula una organización criminal especializada en las estafas mediante smishing, phishing y vishing

Alcalá de Henares, 19 de diciembre de 2025.- 19-diciembre-2025.- La Policía Nacional ha detenido en Torrejón de Ardoz a siete personas por estafas mediante smishing, phishing y vishing. Realizaban
envíos masivos de SMS en los que suplantaban a gestores bancarios y a la propia página web de la entidad financiera. El método utilizado era el denominado OTP (One Time Password), una clave temporal y única generada para cada transacción y remitida a través de un SMS. Mientras mantienen a la víctima al teléfono, los estafadores realizan operaciones fraudulentas desde la banca digital y le solicitan los códigos de verificación para consumar la estafa.

Operaban en la Comunidad de Madrid y otras demarcaciones del país



La investigación se inició a principios del mes de septiembre tras detectarse
la existencia de esta organización criminal, que operaba en la Comunidad de
Madrid y otras demarcaciones del país.

La organización criminal cometía estafas en línea mediante el envío masivo
de SMS y la suplantación de gestores y páginas web bancarias. El análisis
de los hechos permitió confirmar que se trataba de un grupo con una
estructura jerárquica definida y roles claramente diferenciados, lo que
evidenciaba una organización sólida y una alta coordinación en la ejecución
de las estafas.

Dentro de la estructura existían varios niveles: los líderes y ejecutores
materiales, con un alto conocimiento en informática, software y tecnologías
de comunicación; los captadores y recaudadores, encargados de identificar
y reclutar a nuevos miembros; y, por último, las “mulas”, cuya función era
ceder sus cuentas bancarias para recibir los fondos ilícitos.

Claves de verificación temporales OTP para consumar la estafa

El modus operandi de los autores comienza cuando la víctima recibe un
SMS en el que se le informa de una supuesta incidencia grave con su cuenta
bancaria e incluye un enlace fraudulento conocido como “smishing”. Al
acceder a él, es redirigida a una página web que imita la de su entidad
bancaria, técnica conocida como “phishing”. Posteriormente, la víctima
recibe una llamada de un individuo que se hace pasar por empleado del
banco. Durante la conversación, el estafador aporta datos personales como
filiación, domicilio o movimientos bancarios para reforzar la credibilidad de su
historia, modalidad conocida como “vishing”.

Aunque los autores tenían control sobre la banca digital de la víctima, la
normativa exige un sistema de verificación en dos pasos para operaciones
superiores a las habituales. En este caso, se utilizaba un OTP (One Time
Password), una clave única y temporal enviada por SMS para cada
transacción.

Mientras la víctima permanecía al teléfono con los estafadores, estos
realizaban movimientos fraudulentos y solicitaban los códigos de
verificación, consumando así la estafa.

Gracias a la labor de investigación, se ha logrado la detención de siete
miembros de esta organización criminal, como presuntos autores de los
delitos de estafa, blanqueo de capitales, acceso ilícito informático y
pertenencia a organización criminal, pasando todos ellos a disposición
judicial.

El Puert@

Entradas recientes