La imagen clásica del ciberdelincuente aislado frente a un ordenador poco tiene que ver con la realidad que acaba de destapar la Guardia Civil. La operación “Mosenik” ha desmantelado en España una infraestructura tecnológica industrial capaz de enviar millones de SMS y llamadas fraudulentas al día al servicio de redes de ciberestafadores de todo el mundo.
No se trataba de un simple “call center pirata”, sino de una auténtica fábrica de ciberdelitos apoyada en tecnología de telecomunicaciones avanzada: SIMBOX industriales, miles de tarjetas SIM y un sistema informático diseñado para operar casi en cualquier lugar del planeta con una simple conexión a Internet.
Una sola persona, 35 SIMBOX y hasta 2,5 millones de mensajes diarios
Según Interior, la infraestructura intervenida estaba compuesta por:
- 35 SIMBOX industriales equipadas con
865 módems GSM profesionales. - 852 tarjetas SIM activas en uso.
- Más de 60.000 tarjetas SIM nacionales listas para usarse.
- 10.000 SIM nuevas sin activar.
- Numeroso material informático y dispositivos, además de dinero en efectivo y criptomonedas.
Cada módem de estas SIMBOX funciona como si fuera un teléfono móvil independiente y es capaz de enviar entre 12 y 18 SMS por minuto. Traducido: hasta 2,5 millones de mensajes al día saliendo de esta infraestructura si trabaja a pleno rendimiento.
Lo más inquietante es que toda esta red era controlada por una única persona mediante una decena de ordenadores. Un operador técnico que no era quien llamaba directamente a las víctimas, sino quien alquilaba esta capacidad a grupos de ciberdelincuentes especializados en estafas telefónicas y por SMS (vishing y smishing).
SIMBOX: de herramienta de ahorro a arma de cibercrimen
Las SIMBOX no son dispositivos “ilegales” per se. En origen, se utilizan en el sector de telecomunicaciones para optimizar costes en llamadas internacionales o enrutar tráfico de forma más eficiente. Básicamente son cajas que contienen decenas o cientos de módems y tarjetas SIM, gestionados por un sistema centralizado.
El problema aparece cuando se usan para:
- Ocultar el origen real de las llamadas y SMS.
- Rotar constantemente números para evitar bloqueos y rastreos.
- Lanzar campañas masivas de fraude simulando teléfonos locales “de confianza”.
Eso es exactamente lo que ocurría en el caso “Mosenik”:
- Los números remitentes cambiaban constantemente y solo estaban activos un breve periodo tras el alta.
- Las tarjetas SIM se compraban en grandes cantidades a distintos proveedores.
- Se activaban con identidades falsas, lo que dificultaba aún más seguir el rastro.
En la práctica, este tipo de infraestructuras se convierten en un “servicio de infraestructura criminal”: un eslabón intermedio que no siempre habla con la víctima, pero hace posible que las estafas funcionen a gran escala.
Estafas dirigidas: policías falsos, “Banco de España” y llamadas en ruso y ucraniano
La investigación arrancó en Alicante tras varias denuncias de personas que recibieron llamadas de falsos agentes de la Policía Nacional o de supuestos empleados del Banco de España. El modo de operar resultará familiar a cualquiera que siga la actualidad en ciberseguridad:
- Llamada de alta presión
Se advertía a la víctima de presuntos cargos sospechosos, movimientos irregulares o investigaciones en marcha. - Suplantación de autoridad
El uso del nombre de la Policía Nacional o del Banco de España generaba confianza y miedo al mismo tiempo. - Petición de datos sensibles o transferencias urgentes
El objetivo final: conseguir datos bancarios, códigos de verificación o inducir a realizar transferencias de alto importe.
Un elemento llamativo del caso es que parte de las llamadas se realizaban en ruso y ucraniano, dirigidas específicamente a ciudadanos de esas nacionalidades residentes en España. Es decir, no se trataba solo de campañas masivas indiscriminadas: los ciberdelincuentes estudiaban perfiles y colectivos concretos para aumentar la tasa de éxito.
De “servicio técnico” a infraestructura global de fraude
El detenido, un hombre de 41 años, no operaba como un mero usuario de estas SIMBOX. Su papel era más sofisticado:
- Crear, configurar y mantener el sistema de SIMBOX y servidores.
- Ofrecer el servicio a redes de ciberdelincuentes de todo el mundo.
- Automatizar envíos y gestionar la rotación de números, tarjetas y flujos de tráfico.
Se le imputan delitos de estafa, usurpación de estado civil, falsedad documental, daños informáticos, blanqueo de capitales y pertenencia a grupo criminal. La investigación sigue abierta, con la Guardia Civil analizando el enorme volumen de material intervenido y tratando de identificar:
- Más implicados.
- Nuevas víctimas.
- Y el montante económico total, que podría alcanzar varios millones de euros.
Por qué este caso importa mucho más de lo que parece
Este golpe policial no solo desmantela una infraestructura concreta. Ilustra varias tendencias preocupantes:
- Industrialización del fraude
Las ciberestafas ya no son acciones aisladas: se apoyan en plataformas tecnológicas escalables, capaces de contactar con cientos de miles de personas en un día. - Profesionalización por capas
Hay quien desarrolla la infraestructura (SIMBOX, sistemas de gestión, paneles web…), quien compra el servicio y diseña campañas, y quien lava el dinero. Cada eslabón se especializa. - Segmentación avanzada de víctimas
Lejos del spam genérico, se seleccionan colectivos concretos, idiomas y pretextos para maximizar el impacto. - Barreras de entrada cada vez más bajas
La existencia de “infraestructura como servicio” permite que grupos sin grandes conocimientos técnicos puedan lanzar campañas de estafa apoyándose en la tecnología de otros.
En paralelo, la irrupción de tecnologías como la síntesis de voz mediante inteligencia artificial aumenta el riesgo de que estas llamadas se vuelvan aún más creíbles en el futuro, imitando voces reales o acentos concretos con muy poco esfuerzo.
Cómo puede protegerse el usuario
Aunque este caso es de alta complejidad técnica, las recomendaciones para la ciudadanía siguen siendo claras:
- Desconfiar de llamadas inesperadas que pidan datos bancarios, códigos SMS o contraseñas, aunque digan provenir de bancos, organismos oficiales o fuerzas de seguridad.
- Colgar y llamar por los canales oficiales (teléfono del banco, web oficial, oficinas) antes de hacer cualquier movimiento de dinero.
- Recordar que la Policía, el Banco de España ni los bancos piden nunca claves, códigos de firma o PIN por teléfono, SMS o correo.
- Ante la duda, no pulsar enlaces recibidos por SMS que lleven a supuestas webs bancarias o de verificación.
Preguntas frecuentes
¿Qué es una SIMBOX y por qué es peligrosa en manos de ciberdelincuentes?
Una SIMBOX es un dispositivo que agrupa decenas o cientos de tarjetas SIM y módems GSM, permitiendo gestionar grandes volúmenes de llamadas y SMS desde un solo sistema. En manos legítimas puede usarse para optimizar comunicaciones; en manos criminales sirve para ocultar el origen, rotar números y lanzar campañas masivas de fraude.
¿Por qué cambian tanto los números de teléfono en estas estafas?
Porque cada número tiene una “vida útil” muy corta antes de ser detectado, bloqueado o denunciado. Rotando constantemente las tarjetas SIM, los delincuentes dificultan el rastreo y prolongan la eficacia de la campaña.
¿Qué hago si recibo una llamada de alguien que dice ser de la Policía o del banco y me pide datos?
Lo más seguro es colgar y comprobar de forma independiente: llamar al número oficial de tu banco, consultar con tu sucursal o acudir directamente a una comisaría o cuartel. Nunca facilites datos sensibles ni realices transferencias por indicación de una llamada imprevista.
¿Puedo denunciar una ciberestafa sin ir físicamente a un cuartel?
Sí. Algunas ciberestafas, como cargos fraudulentos con tarjetas u otros medios de pago electrónicos sin autorización del titular, pueden denunciarse telemáticamente a través de la sede electrónica de la Guardia Civil, además de por las vías presenciales habituales.
Fuentes: Ministerio del Interior, Guardia Civil.
