La ciberdelincuencia no deja de evolucionar, adaptándose constantemente a las nuevas capacidades tecnológicas y a la confianza que los usuarios depositan en sus entidades financieras. Un claro ejemplo de esta sofisticación es el reciente caso desmantelado por los Mossos d’Esquadra en Figueres, donde un joven de 22 años fue detenido tras estafar más de 23.000 euros utilizando una técnica avanzada conocida como Relay Attacks.
Anatomía de un fraude: Cómo funciona el Relay Attack aplicado a la banca
A diferencia de los ataques de phishing tradicionales, que buscan robar credenciales para acceder a una cuenta desde un navegador, esta nueva modalidad combina la ingeniería social con el aprovechamiento de tecnologías de pago sin contacto (contactless).
El proceso delictivo
El fraude operaba siguiendo una secuencia altamente efectiva:
- Fase de suplantación (Phishing): El atacante enviaba un SMS a la víctima suplantando al departamento de riesgos de su entidad bancaria. El mensaje alertaba de una supuesta vulnerabilidad en la seguridad de la aplicación oficial y proporcionaba un número de contacto.
- Ingeniería social: Al contactar, la víctima recibía instrucciones para desinstalar su aplicación bancaria legítima e instalar una nueva, la cual contenía software malicioso.
- Extracción de datos: Esta aplicación fraudulenta permitía al estafador acceder a los datos de las tarjetas de crédito de las víctimas.
- Vinculación maliciosa: Con la información obtenida, el detenido vinculaba las tarjetas de crédito de sus víctimas a su propio teléfono móvil mediante el software malicioso.
- La ejecución (Relay Attack): Aprovechando la tecnología NFC (Near Field Communication) de su dispositivo, el estafador se aproximaba a cajeros automáticos para retirar efectivo sin necesidad de la tarjeta física, utilizando únicamente su móvil.
Un impacto económico y operativo relevante
El detenido, un joven de 22 años sin antecedentes previos, logró ejecutar esta operativa en un espacio de tiempo muy reducido. Según los datos de la investigación:
- Periodo de actividad: Entre el 20 y el 28 de mayo de 2026, el sospechoso llevó a cabo catorce reintegros exitosos.
- Cuantía del fraude: El importe total de lo estafado ascendió a 23.150 euros.
- Intentos fallidos: Además del dinero retirado, el atacante intentó sustraer otros 6.280 euros, lo que evidencia una actividad frenética y constante.
Las víctimas de este fraude se encuentran repartidas por diferentes puntos del Estado, lo que subraya el carácter deslocalizado de este tipo de ataques informáticos.
La Unidad de Investigación de los Mossos de la comisaría de Figueres lideró la operación, logrando identificar al autor en tiempo récord. La detención se produjo el 28 de mayo, momento en el que el joven fue sorprendido in fraganti mientras intentaba retirar dinero en un cajero automático. Tras un intento fallido de huida, fue interceptado y puesto bajo custodia.
Actualmente, la investigación permanece abierta. La policía no descarta que existan más víctimas que aún no han interpuesto la denuncia correspondiente, por lo que el número final de afectados y la cuantía total del fraude podrían incrementarse en las próximas semanas.
Este suceso vuelve a poner sobre la mesa la necesidad crítica de mantener una postura vigilante: nunca instalar aplicaciones fuera de las tiendas oficiales, desconfiar de las solicitudes urgentes por SMS y verificar siempre los canales de comunicación oficiales de nuestra entidad bancaria ante cualquier alerta de seguridad.
