La Policía Nacional ha detenido en Torrejón de Ardoz a siete personas acusadas de estafas bancarias a través de mensajes de texto SMS fraudulentos ('smishing') , haciéndose pasar por entidades de bancarias en Internet ('phishing') y también con llamadas en las que fingían ser trabajadores del banco ('vishing') . Los sospechosos realizaban envíos masivos de SMS en los que suplantaban a gestores bancarios y a la propia web de la entidad financiera. Mientras mantenían a la víctima al teléfono, los estafadores realizaban operaciones fraudulenta en la banca digital gracias a los códigos que les facilitaba la propia víctima . A los detenidos se les sitúa como presuntos miembros de una organización criminal y se les acusa de los posibles delitos de estafa, blanqueo de capitales y acceso ilícito informático. Todos ellos fueron puestos a disposición de la autoridad judicial. La investigación comenzó a principios del pasado mes de septimebre, cuando se detectó la existencia de esta organización criminal, que no solo opera en la Comunidad de Madrid, sino también en otras demarcaciones del país, según ha informado la Jefatura Superior de Policía de Madrid en un comunicado. Esta organización cometía estafas en línea a través del envío masivo de SMS y la suplantación de gestores y páginas web bancarias. El análisis de los hechos permitió confirmar que se trataba de un grupo con «estructura jerárquica definida» y roles «claramente diferenciados». Dentro de la estructura existían varios niveles. En la cima estaban los líderes y ejecutores matriales , que tenían un alto conocimiento de informática; por debajo se situaban los captadores y recaudadores , encargados de identificar y reclutar miembros; y en el último escalafón las 'mulas', cuya función era la de ceder sus cuentas bancarias para recibir los fondos estafados. El 'modus operandi' de la organización consistía en enviar un SMS a la víctima en el que se le informaba de una supuesta incidencia grave con su cuenta bancaria, y se incluía un enlace fraudulento conocido como 'smishing'. Al acceder a él, la víctima es redirigida a una página web que imita la de su entidad bancaria --técnica conocida como 'phishing'-- y posteriormente recibía una llamada de un individuo que se hacía pasar por empleado del banco y que pedía aportar datos personales ('vishing'). Aunque los autores tenían control sobre la banca digital de la víctima, la normativa exige un sistema de verificación en dos pasos para operaciones superiores a las habituales. En este caso, se utilizaba un OTP ('One Time Password'), una clave única y temporal enviada por SMS para cada transacción. Mientras la víctima permanecía al teléfono con los estafadores, estos realizaban movimientos fraudulentos y solicitaban los códigos de verificación, consumando así la estafa.