Golpe al cibercrimen: la Guardia Civil desmonta una banda de phishing multimillonaria

Equipos @ Guardia Civil
Redacción

La Guardia Civil ha desarticulado una red de phishing hiperactiva en España desde hace dos años, culminando con la detención del líder de la banda, un cibercriminal que desarrollaba de kits de robo de credenciales en el ámbito hispanohablante.

Detenido “GoogleXcoder”, el mayor proveedor de kits de phishing en España

El detenido ―un joven brasileño de 25 años que usaba el alias digital de GoogleXcoder― ofrecía un pack completo de phishing bajo el modelo del Cibercrimen como Producto Comercial (conocido también por su nombre en inglés Cybercrime as a Service (CaaS). En este caso, el hacker diseñaba herramientas que permitían a otros delincuentes clonar páginas web de bancos y organismos públicos.

Desde 2023, España ha sufrido una oleada de campañas de phishing que suplantaban a entidades bancarias y organismos estatales con el fin de robar datos personales y bancarios. Estas estafas han generado miles de víctimas, denuncias y pérdidas millonarias, además de una creciente alarma social. Ante esta situación, la Unidad Central Operativa (UCO) del Departamento contra el Cibercrimen inició una compleja investigación para localizar al ciberdelincuente que facilitaba estas herramientas a otros grupos dedicados robar dinero en internet.

El ciberdelincuente ofrecía sus servicios a través de Telegram, donde comercializaba encargos personalizados, soporte técnico y actualizaciones. Los clientes de GoogleXCoder pagaban cientos de euros diarios por usar estos kits, que permitían suplantar decenas de entidades en pocas horas. Uno de los grupos de mensajería más activos incluso se hacía llamar “Robarle todo a las abuelas”, reflejando el carácter sistemático y cruel de estas operaciones.

Cómo fue el operativo de la Guardia Civil contra la red de phishing

La investigación, coordinada por el Juzgado de Instrucción Número 1 de San Vicente de la Barquera (Cantabria), culminó con seis registros simultáneos en distintas provincias españolas —Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción— y con la detención de GoogleXcoder en Cantabria. En los registros se incautaron dispositivos electrónicos, criptomonedas y evidencias digitales que contenían los kits utilizados en los ataques.

El análisis forense de los equipos permitió identificar a seis personas directamente vinculadas al uso de estas herramientas de phishing. Además, se recuperó dinero sustraído a las víctimas, almacenado en diferentes plataformas digitales.

La operación, en la que también colaboraron la Policía Federal de Brasil y la empresa española de ciberseguridad Group-IB, sigue abierta, y no se descartan nuevas detenciones. Los canales de Telegram involucrados se han bloqueado y la información intervenida se está analizando para prevenir futuros ataques y proteger a los ciudadanos de estas nuevas amenazas de ciberdelincuencia financiera.