Una operación policial coordinada entre la Policía Nacional, EUROPOL y la policía de Hannover ha logrado desarticular una organización criminal dedicada al desarrollo y comercialización de software para realizar estafas bancarias. La investigación identificó un entramado que ofrecía a terceros herramientas para llevar a cabo phishing y smishing, almacenaba credenciales robadas en paneles digitales y empleaba criptomonedas para ocultar los beneficios.
Los operativos simultáneos en España y Francia permitieron la detención de varios responsables y el registro de inmuebles relacionados con la red. Además, se localizaron carteras digitales con fondos y se solicitaron medidas cautelares para bloquear activos, en colaboración con autoridades de otros países.
Cómo funcionaba la infraestructura delictiva
La organización operaba bajo un modelo conocido como Crime as a Service (CaaS), es decir, ofrecía un conjunto de servicios y herramientas a otros ciberdelincuentes. Mediante campañas masivas de engaño digital, recogían datos bancarios de clientes de distintas entidades y los almacenaban en plataformas restringidas que controlaban. A partir de ahí, vendían esas credenciales o proporcionaban acceso a paneles preparados para ejecutar fraudes a terceros a cambio de comisiones.
Paneles digitales y kits de phishing
Los investigadores detectaron múltiples paneles cibernéticos donde se acumulaban miles de datos sensibles. Estos entornos incluían interfaces desde las que se podían lanzar campañas en tiempo real y visualizar credenciales de las víctimas. Para evitar su localización, la organización empleaba enlaces temporales y tecnologías que ocultaban la dirección IP real de los usuarios, complicando el rastreo y la identificación de los responsables.
Campañas y víctimas
Además de comercializar herramientas, algunos miembros del grupo ejecutaban ellos mismos fraudes online. Los agentes atribuyen a la red la obtención de credenciales bancarias de más de 2.000 clientes de entidades alemanas y la realización de transferencias fraudulentas desde cuentas de las víctimas. Las cifras económicas documentadas superan los cuatro millones de euros, aunque las autoridades consideran que el daño real podría ser mayor por víctimas aún no denunciadas.
El uso de criptomonedas y técnicas de blanqueo
Para contratar servicios de alojamiento y adquirir utilidades vinculadas a su infraestructura, así como para blanquear los fondos obtenidos, la red utilizaba criptomonedas. El análisis forense de las transacciones permitió rastrear aproximadamente 1,5 millones de euros en distintas carteras digitales. Sobre esos activos se solicitaron bloqueos a través de los canales de cooperación internacional, incluidos requerimientos a jurisdicciones como Estados Unidos.
Estrategias para ocultar el origen de los fondos
Los investigados combinaban transferencias en moneda digital con la compra de bienes de alto valor —vehículos de gama alta, inmuebles y otros artículos de lujo— para dificultar la trazabilidad del origen ilícito de los recursos. La intervención incluyó el bloqueo de cuentas bancarias, la incautación de vehículos y la retirada de documentación y dispositivos con evidencias digitales.
Cooperación internacional y fases de la operación
La investigación, iniciada en 2026, mostró un marcado carácter transnacional: la red actuaba en varios países de la Unión Europea —España, Francia, Países Bajos, Austria y Alemania— y mantenía conexiones con Marruecos y Estados Unidos. Para la explotación operativa se activaron mecanismos de cooperación policial y judicial, entre ellos vigilancias transfronterizas, envío de Órdenes Europeas de Detención y Entrega y coordinación a través de magistrados de enlace.
Registros y detenciones
La fase operativa se ejecutó de forma simultánea con registros en distintas localizaciones, entre ellas Barcelona y Sitges en Cataluña, y París y Niza en Francia, donde fue detenido uno de los principales investigados. En el operativo participaron especialistas de EUROPOL y agentes de la Unidad de Cibercrimen de la policía de Hannover para dar respuesta a investigaciones abiertas en Alemania relacionadas con los mismos hechos.
Situación procesal y continuidad de la investigación
A los detenidos se les imputan delitos de estafa agravada, blanqueo de capitales y pertenencia a organización criminal. La investigación continúa abierta y las autoridades no descartan nuevas detenciones conforme avance el análisis de la documentación y las evidencias digitales incautadas.
El caso subraya la evolución de la actividad delictiva en el ámbito digital, donde el acceso a herramientas y servicios facilita la expansión de fraudes a escala internacional. Las autoridades insisten en la necesidad de cooperación internacional y en la mejora de mecanismos de denuncia para que las víctimas afectadas por ciberestafas puedan ser localizadas y reparadas.