¿Hiciste clic en «rastrear paquete»? Mala idea: Google revela cómo el «Gato Mágico» chino vacía tarjetas en segundos

Google demandó a un grupo de habla china que la compañía considera el motor principal de una gigantesca ola de mensajes SMS de phishing en EE. UU. en 2025. Según la versión de Google, el grupo llamado Darcula vende herramientas con las que incluso personas sin habilidades técnicas serias pueden enviar masivamente mensajes haciéndose pasar por agencias gubernamentales y grandes marcas, dirigir a las víctimas a sitios falsos y obtener datos de tarjetas bancarias.

La demanda afirma que Darcula vende un conjunto de software que permite lanzar campañas de SMS "en lote" con suplantación del remitente —por ejemplo, haciéndose pasar por el IRS o el Servicio Postal de Estados Unidos. El producto estrella del grupo se llama Magic Cat: lo describen como un constructor cómodo e intuitivo que ayuda a inundar rápidamente millones de números con enlaces a páginas falsas que imitan servicios y empresas occidentales, y luego recopilar los datos de pago que las víctimas introducen, incluidos los números de tarjetas de crédito.

El objetivo de la demanda, explicaron en Google, es obtener base legal para que los tribunales estadounidenses autoricen la incautación y el control de sitios y otra infraestructura web en la que se sustentan las operaciones de Darcula. En la denuncia la compañía solicita una orden de restricción temporal que permitiría legalmente interceptar el control de esa infraestructura y desconectarla, frustrando así los envíos y el funcionamiento de las páginas fraudulentas.

Las identidades de los miembros de Darcula son en su mayoría desconocidas: según Google, se comunican predominantemente en chino simplificado. En el documento se nombra como presunto líder a Yucheng Chan, pero no se pudo contactar con él. La demanda también menciona a otros 24 demandados cuyos nombres no se revelan porque Google no sabe quién está exactamente detrás de ellos. La empresa afirma que Chan vive en China y que otros miembros se encuentran en China o en otros países.

Google subraya que ese tipo de ecosistemas de ciberfraude con frecuencia prosperan en jurisdicciones que son reacias a cooperar con las autoridades estadounidenses, lo que hace extremadamente difícil detener los ataques de forma directa. Por eso, grandes empresas tecnológicas, incluidas Google y Microsoft, recurren periódicamente a los tribunales como instrumento: mediante resoluciones logran la incautación de dominios y sitios vinculados a la infraestructura criminal para desactivarla a nivel de red.

A lo largo de este año Darcula demostró públicamente las capacidades de sus herramientas: en un vídeo en un canal de Telegram el grupo mostraba cómo se pueden configurar envíos con mensajes sobre supuestos cargos de peaje E‑ZPass no pagados. Actualmente ese canal de Telegram ya no funciona y no se ha logrado obtener un comentario del grupo.

En un comunicado de la vicepresidenta de Google para litigios, Cassandra Knight, la compañía dice explícitamente que acude a los tribunales para "cerrar la infraestructura" de una operación fraudulenta a gran escala. Según la estimación de Google, ésta fue responsable del 80% de todos los SMS de phishing en uno de los periodos de este año. La compañía afirma que Darcula y sus participantes vinculados pudieron robar casi 900.000 números de tarjetas bancarias, incluyendo casi 40.000 de ciudadanos estadounidenses. Sólo entre septiembre y noviembre Google recibió más de 5.000 denuncias de usuarios de Google Messages —la aplicación predeterminada de SMS en los teléfonos Google Pixel— sobre mensajes relacionados con los esquemas de Darcula.

Se menciona por separado la investigación de la emisora noruega NRK: analizó grandes conjuntos de datos sobre Magic Cat obtenidos por investigadores de ciberseguridad y concluyó que detrás de los envíos había más de 600 operadores de campañas fraudulentas. Según NRK, a pesar de la amplitud de las «máscaras» que imitaban a empresas y organismos occidentales, las herramientas de Magic Cat no permitían que los envíos parecieran enviados en nombre de China.

La historia encaja en el panorama más amplio del aumento del daño causado por los ciberdelincuentes en EE. UU.: en el informe anual del FBI Internet Crime Complaint Center se indica que el año pasado los estadounidenses informaron de un récord de 16.600 millones de dólares robados por ciberdelincuentes.