La Guardia Civil ha desmantelado una de las organizaciones cibercriminales más activas en el ámbito del phishing en España, conocida como “GXC Team”. Durante la operación, fue arrestado su presunto líder: un joven brasileño de 25 años que operaba bajo el alias “GoogleXcoder”.
Este grupo operaba bajo el modelo crime-as-a-service (CaaS), ofreciendo herramientas automatizadas de phishing potenciadas por inteligencia artificial, malware para Android y sistemas de estafa por voz (vishing). Todo esto lo distribuían principalmente a través de Telegram y foros de hackers de habla rusa.
“Se trata del principal proveedor de herramientas para el robo masivo de credenciales en entornos de habla hispana”, explicó la Guardia Civil en su comunicado oficial.
Un negocio bien montado… y peligroso
Según el informe de Group-IB, que ha estado siguiendo de cerca las actividades del GXC Team, este grupo apuntaba a bancos, empresas de transporte y plataformas de comercio electrónico en países como España, Eslovaquia, Reino Unido, Estados Unidos y Brasil.
Una de las principales armas del grupo eran kits de phishing altamente sofisticados, capaces de replicar con precisión las páginas de decenas de instituciones —tanto españolas como internacionales—, los cuales alimentaban al menos 250 sitios web fraudulentos.
Pero eso no era todo: también desarrollaron al menos nueve variantes de malware para Android, diseñadas para interceptar SMS y contraseñas de un solo uso (OTP), claves en el proceso de secuestro de cuentas bancarias y validación de transacciones fraudulentas.
Además, GXC Team ofrecía soporte técnico completo y servicios de personalización de campañas, elevando su operación al nivel de una plataforma profesional y rentable para el delito cibernético.
Una operación policial a gran escala
La detención del líder y la desarticulación de la red se llevó a cabo el pasado 20 de mayo, en una operación coordinada con registros en Cantabria, Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción.
Durante los allanamientos, las autoridades incautaron dispositivos electrónicos con el código fuente de los kits de phishing, historiales de comunicación con clientes y registros financieros. También se recuperaron criptomonedas robadas y se cerraron varios canales de Telegram usados para difundir y comercializar sus herramientas delictivas.
Uno de estos canales, revelaron las autoridades, se llamaba “Roba todo a las abuelas”, lo que da una idea del perfil ético del grupo.
Más allá del arresto
Lo interesante de esta operación es que, si bien el arresto de GoogleXcoder ocurrió hace más de un año, fue gracias al análisis forense de sus dispositivos y el rastreo de sus transacciones en criptomonedas lo que permitió reconstruir toda la red.
“El análisis forense de los dispositivos incautados, así como las transacciones en criptomonedas, que se prolongaron durante más de un año debido a su complejidad, permitieron identificar a seis personas directamente relacionadas con el uso de estos servicios”, añadió la Guardia Civil.
La investigación sigue en curso, y no se descartan nuevas detenciones en los próximos meses.
Reflexión final
Este caso es un ejemplo claro de cómo ha evolucionado el crimen digital: ya no hablamos de hackers aislados, sino de infraestructuras criminales completas que operan como verdaderas startups tecnológicas, con atención al cliente incluida.
Desde el lado del desarrollo de software y la ciberseguridad, esta historia también nos recuerda la importancia de:
-
Entender cómo se construyen y distribuyen estos kits de phishing.
-
Reforzar las capas de seguridad en sistemas que dependen de autenticaciones OTP o SMS.
-
Monitorizar canales de distribución como Telegram, que se han convertido en auténticos marketplaces del delito digital.
La lucha contra este tipo de amenazas no es solo tarea de las autoridades: desarrolladores, sysadmins y expertos en ciberseguridad tenemos un rol clave en anticipar, detectar y mitigar estos riesgos.
0 Comentarios