La Guardia Civil ha desmantelado "Robarle todo a las abuelas", considerado el mayor grupo de phishing bancario de España. Detrás de la organización se encontraba un brasileño de 25 años, alias GoogleXcoder, detenido en Cantabria tras más de un año de investigación.

Su grupo, conocido como Equipo GXC, llegó a clonar 35 entidades financieras y vaciar las cuentas de miles de clientes. Además de operar directamente, también alquilaban sus herramientas a otros delincuentes por hasta 900 euros diarios, multiplicando el impacto de sus ataques.

El método del grupo “GXC”

Los delincuentes combinaban phishing tradicional con malware para Android en un esquema doblemente eficaz:

• Primero capturaban los datos bancarios mediante webs falsas.
• Después, el malware recopilaba documentos, firmas digitales y contraseñas adicionales.

Con esta información, lograban vaciar las cuentas sin dejar rastro aparente. El nombre del grupo en Telegram —"Robarle todo a las abuelas"— refleja la frialdad con la que actuaban.

La investigación y captura

El caso fue destapado por la empresa de ciberseguridad Group-IB, que alertó a la UCO tras detectar patrones de ataque dirigidos a España. Durante meses, los investigadores rastrearon IPs y servidores globales hasta localizar a GoogleXcoder, un nómada digital que cambiaba de provincia constantemente y usaba identidades robadas.

Finalmente fue detenido en San Vicente de la Barquera (Cantabria), donde los agentes hallaron en su poder dispositivos llenos de pruebas y fajos de billetes. Otros seis miembros del grupo fueron arrestados en Valladolid, Zaragoza, Barcelona, Palma, San Fernando y La Línea.

El alcance internacional del ataque

Aunque la base operativa estaba en España, la red extendía sus tentáculos a Eslovaquia, Reino Unido, Estados Unidos y varios países de Sudamérica. El análisis forense de sus criptomonedas tardó más de un año debido a la complejidad del entramado financiero.

La colaboración entre Group-IB y la UCO ha sentado un precedente importante: por primera vez, una empresa privada compartió directamente información con las fuerzas nacionales en lugar de canalizarla solo a través de Europol o Interpol. El resultado fue una de las operaciones más exitosas contra el cibercrimen en España.

Una advertencia para el futuro

El caso “Robarle todo a las abuelas” pone de manifiesto la sofisticación del phishing moderno y la necesidad de reforzar la educación digital. Los delincuentes no solo engañan con mensajes falsos, sino que utilizan malware avanzado capaz de sortear medidas de seguridad tradicionales.

Las autoridades recomiendan desconfiar de cualquier comunicación bancaria que solicite datos personales o contraseñas, y verificar siempre los dominios antes de introducir credenciales. Además, los bancos y usuarios deben mantener sus sistemas y aplicaciones actualizados para reducir el riesgo de vulnerabilidades explotables.