La Guardia Civil ha desarticulado una de las organizaciones de ‘phishing’ más activas en España con la detención en San Vicente de la Barquera (Cantabria) de un joven brasileño de 25 años, considerado el principal proveedor de kits para el robo masivo de credenciales en el ámbito hispanohablante. El arrestado, conocido en la red como “GoogleXcoder”, operaba bajo un modelo ‘Crime as a Service’ (CaaS), ofreciendo a otros estafadores paquetes completos capaces de clonar páginas web de entidades bancarias y organismos estatales, con personalización, soporte técnico y actualizaciones.
Desde 2023, las autoridades habían detectado oleadas de campañas que suplantaban a bancos y administraciones en todo el país, sembrando alarma social y provocando miles de víctimas y pérdidas millonarias. Ante la gravedad y la expansión de estas estafas, el Departamento contra el Cibercrimen de la UCO abrió una investigación para llegar no solo a los ejecutores, sino al diseñador de las herramientas utilizadas por múltiples grupos.
La operación culminó con seis entradas y registros en Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción, donde se intervinieron dispositivos electrónicos y se recuperaron fondos vinculados al dinero sustraído, almacenados en plataformas digitales. En el registro principal, los agentes incautaron los kits de ‘phishing’, cuentas personales del investigado y conversaciones con decenas de ciberestafadores.
El análisis forense, de más de un año, sobre equipos y transacciones en criptomonedas, permitió reconstruir el entramado e identificar a seis personas directamente relacionadas con el uso de estos servicios. La investigación sigue abierta y no se descartan nuevas detenciones; los canales de Telegram vinculados al grupo han sido objetivo de medidas de desactivación.
El grupo de clientes de “GoogleXcoder” contactaba por Telegram, pagaba cientos de euros al día y explotaba los kits de forma intensiva: decenas de marcas suplantadas en una sola jornada, miles de usuarios engañados y millones defraudados. La sensación de impunidad quedaba reflejada en chats como “Robarle todo a las abuelas”, utilizados para coordinar campañas y compartir resultados ilícitos.
Para evitar su localización, el detenido cambiaba de domicilio con frecuencia, utilizaba líneas telefónicas y tarjetas de pago con identidades suplantadas y llevaba una vida de “nómada digital” con su familia. Su actividad criminal era conocida y perseguida por cuerpos policiales nacionales e internacionales y por organismos de ciberseguridad.
La causa, dirigida por el Juzgado de Instrucción nº 1 de San Vicente de la Barquera (Cantabria), ha contado con la colaboración de la Policía Federal de Brasil y de la empresa de ciberseguridad Group-IB. La Guardia Civil subraya que la coordinación internacional y la intervención temprana sobre la infraestructura (kits, canales y flujos de pago) son claves para debilitar redes CaaS que industrializan el fraude digital.
Claves del golpe policial
• Cae “GoogleXcoder”, presunto mayor proveedor de kits de ‘phishing’ en España.
• Seis registros y seis personas identificadas por el uso de los servicios.
• Incautación de kits, conversaciones y criptoactivos vinculados a las estafas.
• Medidas de desactivación sobre canales de Telegram utilizados por la red.
• Investigación en curso con posible nueva oleada de diligencias.
