La Guardia Civil española ha logrado desmantelar la organización cibercriminal conocida como “GXC Team”, arrestando a su presunto líder, un joven brasileño de 25 años apodado “GoogleXcoder”.
Este grupo operaba una plataforma de crimen-como-servicio (CaaS) que ofrecía kits de phishing impulsados por IA, malware para Android y herramientas de estafa por voz, comercializándolos a través de Telegram y foros rusos de hackers.
Según el comunicado oficial de la Guardia Civil, “se ha desmantelado una de las redes más activas de phishing en España, logrando la detención de un joven brasileño considerado el principal suministrador de herramientas para el robo masivo de credenciales en el entorno hispanohablante”.
¿Cómo operaba GXC Team?
La plataforma replicaba webs de decenas de instituciones, tanto españolas como internacionales, gestionando más de 250 páginas de phishing. Además, desarrollaron al menos 9 variantes de malware para Android capaces de interceptar SMS y contraseñas de un solo uso (OTP), facilitando la toma de control de cuentas bancarias y la validación de transacciones fraudulentas.
GXC Team no solo proveía herramientas, sino que ofrecía soporte técnico completo y personalización de campañas para sus clientes, mostrando un alto grado de profesionalización.
El seguimiento realizado por la firma Group-IB ha revelado que el grupo atacaba entidades bancarias, de transporte y comercio electrónico en España, Eslovaquia, Reino Unido, Estados Unidos y Brasil.
La operación policial
El operativo, llevado a cabo el 20 de mayo, implicó registros coordinados en Cantabria, Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción. Se incautaron dispositivos electrónicos con el código fuente de los kits de phishing, comunicaciones con clientes y registros financieros.
La policía consiguió recuperar criptomonedas robadas a las víctimas y cerrar canales de Telegram usados para promocionar las estafas. Uno de estos canales llevaba el nombre “Roba todo a las abuelas”.
Según la Guardia Civil, los análisis forenses de los dispositivos y transacciones en criptomonedas permitieron reconstruir la red criminal y vincular a seis personas con la utilización de estos servicios. La investigación sigue abierta y se esperan nuevas detenciones de miembros del grupo.
Implicaciones para la ciberseguridad en España y buenas prácticas
El caso del GXC Team pone en evidencia la sofisticación del cibercrimen y la importancia de mantener mecanismos de protección tanto a nivel institucional como individual. Resulta clave:
- Mantener actualizado el software de autenticación multifactor (MFA).
- Educar al usuario final sobre los peligros del phishing y el robo de credenciales.
- Monitorizar el uso de Telegram y foros underground como vectores de ataque.
- Colaborar con iniciativas como la de Group-IB para rastrear las campañas y compartir indicadores de compromiso (IOCs).