Hola, Starlink. Adiós, anonimato. El negocio del blanqueo de dinero ha subido de nivel.
Cómo los bancos detectan a los estafadores, incluso cuando el GPS miente.
En los últimos dos años, el sector bancario de Oriente Medio, Turquía y África ha afrontado una notable evolución de los esquemas de blanqueo de dinero a través de las llamadas «mulas». Según los datos de Group-IB, recopilados a partir de más de 200 millones de sesiones móviles y miles de investigaciones, los estafadores han pasado gradualmente de simples ocultaciones de direcciones IP a operaciones multinivel que emplean terminales satelitales Starlink, coordenadas GPS falsas, elusión de la identificación por SIM e incluso el envío de smartphones preparados a través de las fronteras.
Al principio, los atacantes se limitaban a métodos básicos — VPN y servidores proxy. Sin embargo, las rígidas barreras regulatorias en los países del Golfo Pérsico pronto volvieron inútil ese recurso: las conexiones procedentes de alojamientos y anonimizadores eran bloqueadas automáticamente. Entonces surgieron nuevas vías de evasión. Una de ellas fue el uso de tarjetas SIM y eSIM registradas en los países objetivo, así como estaciones satelitales Starlink que suplantaban las IP de origen. Aunque exteriormente estas conexiones parecían legítimas, la verificación del GPS y de los datos de los operadores móviles mostraba discrepancias geográficas, y eso se convirtió en la base para detectar las campañas.
A continuación se produjo una oleada de falsificación de geolocalización en smartphones. La obligación de dar acceso al GPS al entrar en las apps bancarias antes era una barrera fiable, pero en 2024 las bandas aprendieron a falsificar las coordenadas tanto en Android como en iOS. Destacó especialmente una red sirio-turca que, mediante spoofing de GPS y SIM falsas, abría cuentas masivamente para su posterior blanqueo, incluyendo canales con indicios de financiación del extremismo. La defensa de los bancos se apoyó en el SDK de Group-IB, capaz de detectar anomalías en el GPS y desajustes con los datos de los dispositivos.
Cuando la comparación entre GPS e identificadores SIM empezó a entorpecer, se recurrió a un truco nuevo: usar smartphones sin tarjeta SIM, conectados por Wi-Fi a través de routers o compartiendo internet desde otros dispositivos. Paralelamente se formó un esquema más complejo: contratar a ejecutores de «primera capa» en los países objetivo. Esas personas abrían cuentas a su nombre, pasaban el KYC y durante algún tiempo las usaban de forma legítima para crear una «historia de confianza». Después, las credenciales se entregaban a operadores en el extranjero, que ejecutaban las transacciones. Para mayor verosimilitud, esas operaciones empezaron a camuflarse como proyectos comerciales, acuerdos de inversión u operaciones de compraventa.
El siguiente paso en la evolución de los esquemas de blanqueo fue especialmente sofisticado: el envío de dispositivos preparados de antemano. En los países de confianza, las mulas de «primera capa» abrían una cuenta a su nombre, cumplían todas las formalidades y durante un tiempo la utilizaban correctamente para forjar una reputación. Después, el smartphone con la cuenta activada se enviaba al extranjero, donde empezaba a usarlo otra persona. Desde el punto de vista del banco, parecía un acceso desde el mismo dispositivo, sin señales de cambio de cliente.
Sin embargo, las incoherencias delataban esas manipulaciones: el GPS de pronto registraba la aparición del teléfono en otro país, en el sistema se anotaban transacciones en cajeros fuera de la jurisdicción original, cambiaban bruscamente los parámetros de red y de la tarjeta SIM. Los más reveladores resultaban ser los indicadores comportamentales: la velocidad de los deslizamientos, la naturaleza de los toques, los horarios de actividad e incluso el ángulo en que se sujetaba el teléfono. El análisis de esas características biométricas permitía distinguir al propietario original del nuevo usuario, a pesar de que se conservaran todos los identificadores técnicos.
No menos peligrosa fue la tendencia en la que las víctimas se convertían involuntariamente en parte del esquema. Primero los estafadores transferían fondos a la cuenta de un cliente cualquiera y luego contactaban con él haciéndose pasar por empleados del banco o por una organización oficial. Bajo el pretexto de una «transferencia errónea» convencían a la persona de reenviar el dinero o de proporcionar acceso a su cuenta. De este modo, un usuario honesto, sin sospechar nada, se tornaba en un eslabón intermedio de la cadena de blanqueo.
Para los bancos, estos escenarios son extremadamente difíciles de detectar: el cliente parece totalmente legítimo, no muestra señales de comportamiento fraudulento y las operaciones se asemejan a transferencias normales. No obstante, las investigaciones muestran que es posible identificar estos esquemas —mediante el análisis de rutas atípicas de las transacciones, la discrepancia con los patrones habituales de comportamiento y señales de desajuste entre el dispositivo y la cuenta.
Cronología de la evolución de la táctica de fraude mediante «mulas» (Group-IB)
Todos estos cambios muestran que el fraude en la región META ha dejado de ser exclusivamente digital y adopta cada vez más un formato híbrido, donde las tecnologías en línea se combinan con logística física, contratación de personal e ingeniería social. Como contramedida, Group-IB recomienda combinar análisis de IP, control de geolocalización, verificación de la integridad de los dispositivos y modelos de comportamiento en un sistema unificado, y prepararse para la próxima ola de amenazas: el uso de IA generativa y deepfakes para falsificar documentos y vídeos de KYC.
¿Estás cansado de que Internet sepa todo sobre ti?