La Guardia Civil ha desarticulado una de las redes de phishing bancario más activas del país, deteniendo en San Vicente de la Barquera (Cantabria) al principal desarrollador de kits de robo de credenciales utilizados en España y América Latina. El arrestado, un joven brasileño de 25 años conocido en la red como “GoogleXcoder”, ofrecía un completo servicio delictivo a otros cibercriminales mediante un modelo de negocio conocido como Crime as a Service (CaaS).
Desde 2023, múltiples campañas de phishing masivo habían suplantado a entidades bancarias y organismos públicos españoles, generando miles de víctimas y pérdidas de millones de euros. Estas estafas, que provocaron una creciente alarma social, se basaban en páginas falsas creadas con los kits de phishing desarrollados por este individuo.
El grupo de cibercriminales contrataba los servicios del desarrollador a través de Telegram, pagando cientos de euros por día de uso. Con sus herramientas, podían clonar sitios web de bancos y organismos estatales, obtener credenciales y vaciar cuentas de usuarios. Uno de los grupos de mensajería que coordinaba las estafas llegó a denominarse “Robarle todo a las abuelas”, reflejando el desprecio de los estafadores hacia las víctimas.
La investigación, dirigida por el Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO), permitió identificar a GoogleXcoder como el creador y distribuidor principal de los kits de robo de datos. Su localización no fue sencilla: el sospechoso se desplazaba continuamente por España, utilizaba identidades falsas, tarjetas de pago clonadas y una red de criptomonedas para ocultar sus ganancias ilícitas, manteniendo una vida de “nómada digital”.
Durante el registro principal realizado en Cantabria, los agentes intervinieron numerosos dispositivos electrónicos que contenían los kits de phishing, registros de cuentas personales y conversaciones con decenas de ciberdelincuentes. El análisis forense posterior permitió reconstruir la red, identificar a seis usuarios activos de estos servicios y recuperar parte del dinero robado.
En total se practicaron seis registros en distintas provincias —Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción— en los que se incautó material informático, criptomonedas y fondos vinculados a las estafas.
La Policía Federal de Brasil y la empresa de ciberseguridad Group IB colaboraron en la operación, que ha supuesto un golpe importante al mercado negro del phishing en español. La investigación judicial continúa abierta y no se descartan nuevas detenciones ni la desactivación de más canales de Telegram relacionados.
