Aparece una ventana emergente en tu ordenador advirtiéndote de un virus. Llamas al «técnico de Microsoft» que aparece en el mensaje emergente y te explican que necesitan acceso remoto para solucionarlo. A estas alturas, la mayoría ya conocemos este guion. Se trata de una estafa, llevada a cabo por personas que pretenden sustraer dinero de tu cuenta.
Un juicio celebrado la semana pasada nos ha permitido comprender mejor cómo funcionan estas operaciones. Dos antiguos ejecutivos de la empresa de seguimiento de llamadas y análisis C.A. Cloud Attribution Ltd se declararon culpables de vender números de teléfono e infraestructura de llamadas a estafadores que se hacían pasar por personal de asistencia técnica. Según la fiscalía, incluso asesoraban a sus clientes ilegales sobre cómo evitar ser descubiertos.
Adam Young, antiguo director ejecutivo, y Harrison Gevirtz, antiguo director de seguridad, dirigieron la empresa entre principios de 2017 y abril de 2022. Según el Departamento de Justicia (DOJ), vendieron números de teléfono, grabaciones de llamadas y servicios de desvío de llamadas a empresas de la India de las que sabían que llevaban a cabo operaciones fraudulentas de asistencia técnica. Ambos son residentes en Estados Unidos, pero C.A. Cloud Attribution estaba registrada en Chipre.
Las estafas seguían un patrón habitual: utilizaban ventanas emergentes falsas que advertían de infecciones imaginarias. Se convencía a las víctimas para que llamaran a los números indicados, donde los estafadores se hacían pasar por empleados de Microsoft y Apple y cobraban cientos de dólares por servicios técnicos ficticios. En algunos casos, los estafadores conseguían acceder a los sistemas de las víctimas y obtenían información financiera personal mediante el acceso remoto.
Participantes voluntarios
Los dos ejecutivos no se limitaron a hacer la vista gorda. Según la fiscalía, aconsejaron a sus clientes fraudulentos que rotaran entre grandes conjuntos de números para que las denuncias no provocaran el cierre de ninguna cuenta concreta. También indicaron a su propio personal de ventas que captara a empresas de las que ya sabían que eran fraudulentas. En ocasiones, facilitaban contactos para que los estafadores pudieran comprar y vender llamadas entre ellos.
Por si fuera poco, ambos también gestionaron su propio centro de atención telefónica en Túnez desde 2016 hasta abril de 2022, donde, al parecer, algunos empleados llevaban a cabo ellos mismos estafas de falso soporte técnico.
Según Ted E. Docks, agente especial al mando de la oficina del FBI en Boston:
«Lo que hicieron el director ejecutivo y el director de seguridad de esta conocida empresa de seguimiento de llamadas y análisis fue sencillamente despreciable. Según han admitido ellos mismos, se beneficiaron deliberadamente de estafadores dedicados al telemarketing y al soporte técnico, tanto aquí como en el extranjero, que se aprovechaban de las personas mayores, explotaban a los más vulnerables y dejaban a las víctimas sin los ahorros de toda una vida y sin tranquilidad».
Young y Gevirtz se declararon culpables de encubrimiento de un delito grave (ocultar el conocimiento de un delito), lo que conlleva una pena máxima de tres años de prisión federal y una multa de 250 000 dólares. Cabe destacar que las autoridades federales no lograron condenarlos por conspiración para cometer fraude electrónico, delito que conlleva hasta 20 años de cárcel.
C.A. Cloud Attribution no es el primer proveedor de infraestructura al que se ha pillado ayudando a estafadores de soporte técnico. En 2023, la Comisión Federal de Comercio (FTC) tomó medidas contra la empresa de procesamiento de pagos Nexway, alegando que la empresa había estado «muy dependiente» de sus clientes de «soporte técnico premium», que representaban aproximadamente una cuarta parte de sus ingresos. Visa ya había incluido a Nexway en su Programa de Supervisión de Contracargos en diciembre de 2017, pero el fraude continuó de todos modos. La FTC solicitó inicialmente una multa de 49,5 millones de dólares, que posteriormente se redujo a 650 000 dólares.
La próxima llamada de «Microsoft»
El patrón es siempre el mismo. La estafa en sí misma puede ser llamativa, con sirenas emergentes y falsas advertencias de pantalla azul, pero la cadena de suministro que la sustenta suele parecer anodina y corporativa. Según los documentos judiciales, Young y Gevirtz hicieron que sus datos dejaran de aparecer en las alertas emergentes de asistencia técnica de forma deliberada, para que C.A. Cloud Attribution pudiera mantener un perfil bajo.
Si una conocida empresa de seguimiento y análisis de llamadas puede pasar años desviando llamadas a operaciones fraudulentas a sabiendas y enfrentarse a una pena máxima de tres años, esto plantea preguntas incómodas sobre el efecto disuasorio para el próximo proveedor que se vea tentado a hacer la vista gorda.
La lectura de la sentencia para ambos hombres está prevista para el 16 de junio de 2026.
¿Te parece que algo no va bien? Compruébalo antes de hacer clic.
Malwarebytes Guardte ayuda a analizar al instante enlaces, mensajes de texto y capturas de pantalla sospechosos.
Disponible conMalwarebytes Premium para todos tus dispositivos, y en laMalwarebytes para iOS Android.
