Más de 800.000 personas de Europa y Estados Unidos han sido engañadas para entregar su información personal y los datos de sus tarjetas de crédito a una extensa red de tiendas fraudulentas que simulaban vender productos de diseño y, aparentemente, eran operadas desde China.
Una investigación internacional de los periódicos The Guardian, Die Zeit y Le Monde ha permitido vislumbrar una operativa que requirió la puesta en marcha de 76.000 páginas web fraudulentas y que, según el organismo británico de protección al consumidor Chartered Trading Standards Institute, figura entre las mayores estafas de este tipo.
Examinados por periodistas y expertos en informática, los datos sugieren una operación aún vigente con un nivel técnico y organizativo muy avanzado. Los programadores crearon decenas de miles de tiendas online fraudulentas en las que se ofrecen productos rebajados de Dior, Nike, Lacoste, Hugo Boss, Versace y Prada, entre muchas otras marcas premium, en idiomas que van desde el inglés al alemán, pasando por el francés, el español, el sueco y el italiano.
Las páginas parecen haber sido creadas con el fin de atraer a consumidores para sacarles información confidencial y dinero. Pero no guardan relación con las marcas que dicen vender. De acuerdo con la mayoría de los testimonios ofrecidos por consumidores que compartieron su experiencia, los artículos supuestamente adquiridos nunca llegaron.
Las primeras tiendas web falsas de esta red parecen haber sido creadas en 2015. Según el análisis de los datos, solo en los últimos tres años procesaron más de un millón de pedidos por un total de hasta 50 millones de euros, aunque no todos los pagos llegaron a completarse. Muchos de estos portales han sido abandonados, pero un tercio de ellos (unos 22.500) sigue operando en la actualidad.
Hasta el momento son unas 800.000 personas, principalmente de Europa y de Estados Unidos, las que han comunicado a tiendas de esta red su dirección de correo electrónico. Entre ellas, hay 476.000 personas que también dieron su nombre completo, su número de teléfono, su dirección de correo postal, y los datos de sus tarjetas de débito y crédito (incluido el código de seguridad de tres dígitos).
“Una de las mayores estafas que he visto usando tiendas web fraudulentas”, dijo Katherine Hart, responsable del Chartered Trading Standards Institute. “Por lo general, estas personas forman parte de grupos criminales organizados más serios, que recopilan datos para emplearlos contra la gente en un momento posterior, volviendo a los consumidores más vulnerables frente a intentos de phishing”.
“Los datos son la nueva moneda”, dijo Jake Moore, asesor global de ciberseguridad en la empresa de software ESET. Los datos personales también pueden ser valiosos para las agencias de espionaje de otros países, alertó. “El escenario que hay que asumir es que el gobierno chino podría tener acceso a los datos”, añadió.
La alerta por esta red de tiendas fraudulentas la dio la consultora alemana de ciberseguridad Security Research Labs (SR Labs), que tras obtener varios gigabytes de datos los compartió con el periódico Die Zeit. Al parecer, un núcleo de programadores desarrolló un sistema capaz de crear y publicar de forma semiautomática estos sitios web, lo que permitía un rápido despliegue.
Los programadores habrían operado algunas tiendas por sí mismos pero también permitían que otros grupos explotaran el sistema. De acuerdo con los registros, al menos 210 usuarios accedieron al sistema desde 2015. “Como una franquicia”, explicó Matthias Marx, consultor de SR Labs. “El equipo central se encarga de desarrollar el software, desplegar los backends y apoyar la operativa de la red; los franquiciados gestionan el día a día de las tiendas fraudulentas”.
“Me atrapó”
Unas semanas antes de Navidad, Melanie Brown (54) se puso a buscar un bolso nuevo por Internet. Subió al buscador Google la imagen de un artículo de cuero de Rundholz, uno de sus diseñadores alemanes favoritos, y en seguida apareció un sitio web donde el bolso se ofrecía a 100 libras esterlinas [unos 116 euros], la mitad de su precio habitual.
“Me atrapó”, dice Melanie, que vive en el condado inglés de Shropshire. Tras añadir el bolso a su cesta de la compra vio otras prendas de Magnolia Pearl, una marca de alta gama que le encanta. Se gastó 1.200 libras [unos 1.395 euros] en 15 artículos, entre los que había tops, vestidos y pantalones vaqueros. “Era un descuento muy grande así que pensé que merecía la pena”, dijo. Pero a Brown la estaban estafando.
Operando desde la provincia china de Fujian, la red lleva casi diez años usando lo que parece ser una única plataforma informática capaz de crear decenas de miles de tiendas web fraudulentas con grandes marcas mundiales, como Paul Smith, artículos de casas de alta costura como Christian Dior, sellos más especializados y codiciados como Rixo o Stella McCartney, y tiendas de zapatos como Clarks. Pero no es solo ropa lo que dicen vender. También hay juguetes de calidad, como Playmobil, y al menos una con productos de iluminación.
Unas 49 personas que dicen haber sido estafadas hablaron con los periodistas a cargo de la investigación. De acuerdo con el testimonio de 19 personas estafadas que hablaron con The Guardian en Estados Unidos y el Reino Unido, la finalidad de los sitios web no era comerciar con productos falsificados. A la mayoría no les llegó nada por correo y las que sí recibieron algo se encontraron con productos que no tenían nada que ver con el pedido. En Alemania, una persona pagó por una americana y recibió unas gafas de sol baratas. A una persona afectada del Reino Unido le llegó un anillo falso de Cartier en vez de una camisa; y a otra le enviaron un jersey azul sin marca, en lugar del Paul Smith que había creído comprar.
Curiosamente, muchas de las personas que trataron de comprar en las tiendas falsas no perdieron su dinero. En muchos casos el banco bloqueó el pago o fue la propia tienda fraudulenta la que no lo procesó. Lo que sí comparten todas las personas entrevistadas es el robo de sus datos privados.
En palabras de Simon Miller, de la organización británica contra las estafas Stop Scams UK, “los datos pueden tener más valor que las ventas”. “Si se están acumulando los datos de la tarjeta de una persona, esos datos tienen un valor incalculable para hacerse con una cuenta bancaria”, dijo.
En opinión de SR Labs, especializada en reforzar los sistemas de protección ante ciberataques, la estafa de las páginas web fraudulentas tiene dos niveles: el de la recolección de datos de tarjetas de crédito y el de la venta fraudulenta. En el primero, las pasarelas de pago falsas recopilan la información sin llevarse ningún dinero. En el segundo, el pago es procesado y los delincuentes sí se llevan un dinero. Hay pruebas de que la red recibía el dinero a través de PayPal, Stripe y otros sistemas de pago, cuando no de tarjetas de débito o crédito directamente.
La red utilizaba dominios caducados para hospedar sus tiendas falsas. Una técnica que según los expertos dificulta su detección por parte de los propietarios de las marcas. Al parecer, en la base de datos de esta red criminal hay 2,7 millones de dominios huérfanos, que los programadores van probando hasta encontrar el más adecuado.
En Alemania, la propietaria de una fábrica de abalorios contó que casi todos los días recibía llamadas de compradores furiosos preguntando por prendas Lacoste. Hasta que descubrió que alguien estaba usando para la estafa de las prendas Lacoste un antiguo dominio que en otra época había sido de ella: perlenzwoelfe.de. Era posible ver que el dominio le había pertenecido porque en los archivos de la web se veía su antiguo contenido. Lo denunció ante la policía, pero “los agentes se limitaron a decir que no podían hacer nada al respecto”.
Copia de catálogos de productos
Algo similar le ocurrió a Michael Rouah, que dirige el negocio de juguetes hechos a mano Artoyz, con ventas en un local del centro de París y por Internet. Rouah explicó que copiaron todo su catálogo de productos, “cambiaron el nombre y utilizaron otro dominio”. “Robaron las imágenes de nuestra web y les cambiaron los precios, poniéndolos mucho más baratos, por supuesto”, dijo. Los clientes le avisaron del fraude. “En general no podemos hacer mucho al respecto, hemos explorado la posibilidad de tomar medidas con un abogado, pero es algo que lleva tiempo y dinero”, dijo.
Muchas de las direcciones IP que usa la red están ubicadas en China, algunas en las ciudades de Putian y de Fuzhou, provincia de Fujian, donde al parecer tiene su origen la organización. A partir de documentos que fueron encontrados con el detalle de las nóminas, se dedujo que personas que trabajaron como programadores y recolectores de datos recibían un salario pagado por medio de bancos chinos.
Entre los datos también había tres plantillas de contratos de trabajo en las que figura como empleador Fuzhou Zhongqing Network Technology Co Ltd. No está claro qué conexión tiene con la red pero es una empresa registrada oficialmente en China, con número de identificación único y domicilio en Fuzhou, capital de Fujian. Los contratos estipulan unas estrictas condiciones de trabajo: el empleado es valorado con puntos en función de su rendimiento y puede mejorar su salario si asciende en la clasificación.
Entre los criterios que suman puntos figuran abstenerse de videojuegos y películas, así como no dormir durante la jornada. El salario se reduce en función de los días no trabajados por enfermedad o vacaciones, a menos que se compensen con horas extras.
Entre los datos encontrados también hay una hoja de cálculo con el detalle de un pago de dividendos por 2.410.000 yuanes [unos 310.000 euros], entregado entre enero de 2022 y octubre de 2022 a al menos cuatro accionistas de una empresa cuyo nombre no aparece.
Fuzhou Zhongqing aparece ahora mismo en portales chinos de búsqueda de empleo como interesada en contratar a desarrolladores y a expertos en recolección de datos. El salario para especialistas en recolección de datos oscila entre los 4.500 y los 7.000 yuanes mensuales [entre 580 y 900 euros], y la empresa se describe a sí misma como una “compañía de comercio exterior dedicada principalmente a la producción de calzado deportivo, ropa de moda, bolsos de marca y otras categorías”.
Fuzhou Zhongqing no respondió a las peticiones de comentarios.
El centro británico contra la ciberdelincuencia Action Fraud comunicó que trabajaría para lograr la retirada de las tiendas web fraudulentas.
Problema creciente
Las estafas por Internet son un problema creciente. En los seis primeros meses de 2023 el Reino Unido registró 77.000 fraudes por compras online, un 43% más que durante el mismo periodo de 2022. En Estados Unidos, los consumidores perdieron en 2022 casi 8.800 millones de dólares por estafas, lo que representa un aumento superior al 30% con relación al año anterior. La segunda estafa más denunciada en el país fue la relacionada con fraudes en las compras por Internet.
Según Matt Hepburn, portavoz en temas de fraude del banco TSB, en el Reino Unido la estafa por compras en Internet es “el principal vector” de la delincuencia financiera online. En su opinión, las empresas tecnológicas aun tienen mucho por hacer para reforzar la protección a los usuarios. “Los motores de búsqueda y las plataformas tecnológicas deben evitar la exposición de sus usuarios a sitios fraudulentos y eliminar en seguida los contenidos falsos que son denunciados”.
“La única manera de mejorar la protección a los consumidores frente a los delincuentes que se aprovechan de los sistemas digitales es que las empresas y los gobiernos vuelvan verdaderamente prioritario evitar las estafas”, dijo Hester Abrams, responsable de relaciones internacionales en Stop Scams UK. “Investigaciones como esta demuestran el impacto que podríamos tener contra los estafadores si mejoramos la coordinación en las medidas internacionales”.