Buscar
LA PORTADA DE MAÑANA
Ver
El Gobierno avanza hacia un Plan de Defensa sin sus socios y con un PP alejado de su posición en Bruselas

SCAM EMPIRE | EL IMPERIO DEL FRAUDE

Mauro Jordán: “El control antiblanqueo funciona con los ricos y las empresas, pero no en las ciberestafas”

  • El abogado lleva a la Audiencia Nacional la demanda de 72 víctimas: “El Banco de España, la CNMV, el Sepblac y la policía son completamente inoperantes”
  • “Cuatro o cinco grandes organizaciones en Bulgaria y Albania, con vínculos con Israel y Rusia, dominan las ciberestafas internacionales”
El abogado Mauro Jordán de la Peña, que ha llevado a la Audiencia Nacional la primera demanda colectiva por una ciberestafa de inversiones.
El abogado Mauro Jordán de la Peña, que ha llevado a la Audiencia Nacional la primera demanda colectiva por una ciberestafa de inversiones. Rodríguez Jordán

El Juzgado de Instrucción número 5 de la Audiencia Nacional, cuyo titular es Santiago Pedraz, acaba de admitir a trámite la demanda de 72 víctimas de un entramado internacional que ha estafado a decenas de miles de ciudadanos de todo el mundo prometiéndoles cuantiosos beneficios a unas supuestas inversiones en acciones, materias primas y criptomonedas que jamás se llevaron a cabo. Mauro Jordán de la Peña, que se ha especializado en este tipo de ciberfraudes –todos los estafados fueron atraídos gracias a anuncios publicados en internet– ha agrupado a los perjudicados, con el objetivo no sólo de llevar a juicio a quienes les han robado casi 10 millones de euros en apenas unos meses, sino también de intentar recuperar su dinero. Un total de 31 de los 72 demandantes aparecen en los registros de la investigación Scam Empire.

El abogado es consciente de la dificultad de estas investigaciones, que deben traspasar los cortafuegos de los testaferros y empresas ficticias para llegar hasta oscuros personajes situados en países tan lejanos como Georgia o Israel. Pero critica con igual dureza a la policía y los bancos como a los organismos públicos que deberían velar por el cumplimiento de la ley. “El Banco de España es una vergüenza, el Sepblac es totalmente inoperativo y la CNMV es un organismo de chiste”, se explaya. También se lanza contra la propia ley antiblanqueo que, a su juicio, ha creado un “limbo” para las criptomonedas donde se mueven con demasiada alegría los ciberestafadores internacionales.

¿Cómo llegaste a interesarte en este tipo de estafas?

Empecé hace siete u ocho años, prácticamente cuando empecé en la abogacía. Uno de mis primeros clientes fue un señor con una enfermedad muy avanzada, que había perdido ciento y pico mil euros con el que era en aquel momento el broker más famoso del mundo, IronFX, patrocinador del FC Barcelona. Era una estafa muy clara y el dueño estaba en Chipre. Fueron los pioneros.

Y, en el caso de la demanda que acaba de admitir a trámite la Audiencia Nacional, ¿cómo agrupó a estas 72 personas, cada una de ellas en una provincia de España y que probablemente ni siquiera sabían que otras personas como ellos habían sido estafadas por los mismos delincuentes?

Al llevar tantos años y tener el know-how, digamos, sabemos lo que hay que buscar y lo que es relevante para establecer relaciones. Muchas veces la policía investiga hilos que no tienen ningún sentido, como los números de teléfono, por ejemplo, o las criptomonedas. Nosotros tenemos una base de datos muy grande que nos permite establecer marcadores y podemos ver que una persona y otra y una tercera hacen una transferencia a la misma empresa fantasma de la República Checa, por ejemplo. O vemos que el nombre falso de un estafador es el mismo que en otra denuncia. El modus operandi [de los estafadores] es siempre el mismo. Las páginas web que utilizan tienen exactamente la misma maquetación, sólo cambia el nombre. Titularizan a la vez 40 plataformas diferentes. Y manejarse con 40 nombres falsos diferentes, para ellos también es una locura. Por eso muchas veces los nombres falsos también son los mismos. El primer pago siempre es con tarjeta, y las empresas que les hacen la publicidad o el SEO son también muchas veces las mismas.

La tecnología del 'blockchain' crea un limbo donde no se puede aplicar la Ley Antiblanqueo

Además, parece que las plataformas o los grupos criminales no desaparecen, sino que se regeneran y siguen operando.

Sí, las organizaciones criminales, al igual que las empresas tradicionales, tienden al monopolio, tienden a la concentración de capital y de actividades. El ejemplo más claro de otro submundo delictivo con el que se puede comparar es el tráfico de drogas. Es decir, da igual dónde compres la droga, en España, Francia, Bélgica, esa droga viene de Colombia, Ecuador o México, y de cuatro organizaciones fuertes. Dan igual los subgrupos, al final la raíz es el cártel de Cali, los Zetas… Pues con las ciberestafas pasa lo mismo. Fueron poco a poco y cada vez se juntan más: hay tres, cuatro, cinco organizaciones grandes que se dedican a esto y se van extendiendo, se van dividiendo, se vuelven a juntar… y ya las tenemos identificadas.

¿Puede poner nombres y localización a esas tres o cuatro grandes organizaciones?

No es tan sencillo como con el mundo del tráfico de drogas, que está más localizado geográficamente. Pero, policialmente y a nivel europeo, hay identificadas varias organizaciones, pero no tienen un nombre como el cártel de Medellín, claro. Esas organizaciones tiene presencia en varios países, Bulgaria, Albania, y vínculos con Israel, con Rusia.

Por su experiencia, ¿son rivales estos grupos? ¿O trabajan juntos, cooperan y comparten información, por ejemplo?

No, no son rivales. Tras años de actuación, la infraestructura detrás del crimen tienen muchos vínculos en común, como pasa con otros submundos. Al igual que los narcotraficantes gallegos trabajan y descargan cocaína para diferentes cárteles, aquí hay determinadas empresas que proporcionan a los estafadores la tecnología de la información que hay detrás, el CRM [Gestión de Relación con los Clientes, por sus siglas en inglés] o los círculos para el blanqueo de capitales, que son los mismos. Y al final, fruto de años de detenciones de la policía o de explotar la operación contra una parte, surgen envidias, rencores. Sí, los hay que han tenido problemas, pero no hay una guerra entre ellos, que yo sepa.

El abogado Mauro Jordán busca recuperar el dinero robado a 72 víctimas de la ciberestafa. Rodríguez Jordán

¿Y las diferentes subcontratas o divisiones de las grandes corporaciones criminales, las que suministran la tecnología o los afiliados de marketing, están identificadas?

Esta gente mueve muchísimo dinero, tanto dinero como los cárteles de la droga. Esas empresas que les proporcionan servicios, son de dos tipos. Unas son fugaces. Proporcionan marketing online, SEO, o son procesadores de servicios de pago, pero las utilizan poco porque tienen una vida útil corta: al final los pillan, se queman. Otras son empresas grandes, potentes, que están controladas por los que realmente cortan el bacalao y que llevan operando años. Éstas les proporcionan la infraestructura, el CRM, los programas informáticos, las herramientas para estafar.

Nos ha sorprendido descubrir que la trama utiliza en España, sin ningún problema, cuentas en el BBVA, el Santander o el Sabadell. Han constituido empresas que han abierto cuentas desde las que han hecho miles de transferencias.

El sistema bancario tiene mucha responsabilidad. Los controles que deben hacer contra el blanqueo de capitales, los procedimientos KYC [Conoce a tu cliente, por sus siglas en inglés] funcionan para los ricos, para los millonarios y para que una empresa de construcción no reciba tres millones de euros de Arabia Saudí. Para eso sí salta la alarma.

Pero el sistema no funciona para estas estafas, porque la mayoría de las transacciones son transferencias desde España hacia países dentro de la Unión Europea y los bancos ganan mucho dinero con las comisiones que cobran. El BBVA es el banco que menos controles hace. Con todo, lo grave no es que permitan todas esas transferencias, lo grave es que los bancos, como pasaba antes de 2009 con la crisis de las hipotecas, aprueban ahora préstamos preconcedidos para todo el mundo. Y no hacen ningún test de solvencia.

No se trata sólo de que los bancos no apliquen controles al blanqueo de capitales, sino que, una vez que a la víctima le vacían toda la cuenta, el banco le concede un crédito de 50.000 euros que, automáticamente, los estafadores transfieren al extranjero. Los bancos tienen responsabilidad de muchos tipos, pero ir contra ellos es complicado, mientras que los organismos que controlan su actividad son completamente inoperantes. El Banco de España es una vergüenza, el Sepblac es totalmente inoperativo y la CNMV es un organismo de chiste en España.

Se puede recuperar el dinero estafado mediante acuerdos extrajudiciales o bloqueando cuentas

¿Hay algún agujero o algún fallo en los procedimientos KYC y en los seguimientos posteriores de las cuentas a los que están obligados los bancos españoles que los diferencia del resto de los bancos de Europa? ¿Son menos diligentes de lo que deberían ser o de lo que son en otros países, les dan alguna ventaja que aprovechan los estafadores?

No lo creo. El banco que más utilizan es el Deutsche Bank. [Los estafadores] conocen muy bien el sistema financiero europeo, tanto la banca tradicional como los neobancos. De hecho, participan en neobancos y han creado procesadores de servicios de pago propios, también tienen exchanges de criptomonedas propios. Mueven tanto dinero que ponen tres testaferros, una garantía de tres millones y se abren un banco en Estonia o Lituania. Alguno de ellos ya los han cerrado las autoridades allí.

Pero no creo que haya nada especial en relación a eso. Esta gente fue parte de la caída de Wirecard, que era el tercer neobanco de Alemania. Y el Deutsche Bank… es una locura.

Antes ha mencionado los escasos controles que hace el BBVA…

El BBVA no aplica ningún control. Pero lo importante no son las cuentas de las víctimas, sino que permiten la apertura de cuentas de testaferros, de empresas fantasma, sin plantilla, creadas por ciudadanos extranjeros, sin actividad, sin página web, ni sede social, ni nada… Que facturan miles de euros de un día para otro y esas cantidades se van automáticamente a otras cuentas bancarias en el extranjero

¿Y eso no debería saltar la alarma en los bancos?

Sí.

¿Y salta?

No.

¿Por qué no? ¿Porque los testaferros que abren las cuentas son ciudadanos de la UE?

Porque los bancos no ponen de su parte. Porque ganan mucho dinero permitiéndolo. Los bancos saben contra quién juegan y conocen sus riesgos. Una cosa es la responsabilidad administrativa de los bancos por blanqueo de capitales, que el Sepblac [la unidad de inteligencia financiera y de lucha contra el blanqueo de capitales] les ponga una multa de 15 millones. Pero, por la falta de control en la cuenta de Pepa María en Murcia, la multa de 15 millones a Pepa María de Murcia no le da nada. Pepa María sigue perdiendo los 100.000 euros que se transfirieron desde su cuenta. Entonces, ¿quién se toma ese trabajo?

Y eso suponiendo que Pepa María sepa que el banco tiene alguna responsabilidad. ¿Va una ciudadana de Murcia, destrozada por ser una víctima, a poner, no ya digamos una denuncia en la policía, sino una reclamación al Sepblac, al Banco de España?

Por ejemplo, un control facilito: que, cuando una persona de más de 65 o 70 años haga una transacción de más de 10.000 euros al extranjero, esa transacción se paralice. Los bancos no lo hacen porque ganan mucho dinero con las comisiones. Y no sólo ganan mucho dinero con las comisiones. Los neobancos procesan para ellos

Como Revolut.

Bueno, Revolut, ahora ya no, los cortó, porque ya tiene suficiente cuota de mercado, ya no se arriesga más. Pero tengo decenas, cientos de transacciones a través de Revolut [en la demanda ante la Audiencia Nacional].

El Juzgado de Instrucción número 5 de la Audiencia Nacional ha admitido a trámite la demanda de 72 víctimas de una ciberestafa internacional. Eduardo Parra / Europa Press

El objetivo es la lucha contra el blanqueo de dinero, no la lucha contra el fraude ni contra las estafas.

La lucha contra el blanqueo de capitales la marcan las directivas europeas y es obligada a esta exposición. Y son muy genéricas. Si usted es una institución financiera o un procesador de servicios de pago, tiene que saber hacia dónde va el dinero. Pero un exchange de criptomonedas [un servicio que conecta compradores y vendedores], que también es un sujeto obligados en materia de blanqueo de capitales, ¿cómo garantiza eso? Tengo decenas, cientos de comunicaciones de Binance, de Kraken, entre las principales casas de cambio de criptomonedas, diciendo: “No, no. Esto salió de mi exchange, se fue el dinero a otra criptocartera y no tengo ningún dato, no tengo ni idea”. ¿Cómo se compagina eso con las directivas contra el blanqueo de capitales? Me da igual que sean criptomonedas, tú tienes la obligación de saber adónde mandas el dinero.

Además, a mí la gente no me contrata para luchar contra los bancos, sino para que intente recuperar su dinero. Alguien tiene que hacer esa labor, que es muy complicada. Si quieres que sea efectiva, no se trata de decir a los bancos que tienes a María Pepa, a la que han estafado 100.000 euros. No, se trata de decirles que tienes a 300 clientes que han hecho decenas de transacciones que han sacado miles de euros al extranjero. Tengo 200 cuentas bancarias de testaferros y empresas a través de tu banco. Y ése es un trabajo que también deberían hacer los organismos públicos, la policía, pero son completamente inoperantes.

Esta delincuencia no causa alarma social porque la sociedad española tiene la empatía poco desarrollada: 'Tú sabrás dónde metes tu dinero

Parece que, por su nivel de complejidad, estas estafas son muy difíciles para la policía. Empiezan una investigación, pero cuando ven que el dinero sale del país, paran.

Lo que le preocupa a un comisario provincial es que la gente pueda salir a cenar sin que le roben, pueda ir tranquilo por la calle sin que tenga miedo. La seguridad ciudadana. Y, en términos de política criminal, los casos que preocupan a la policía, que son los mismos que preocupan al Gobierno, son los que causan alarma social y tienen mucha repercusión mediática, las agresiones sexuales, los delitos contra la integridad, la libertad… Y después, los casos de corrupción, prevaricación, malversación, la Gürtel, Aldama…

Pero este tipo de delincuencia no causa ninguna alarma social, porque la sociedad española para determinados aspectos tiene la empatía muy poco desarrollada: “Si les han estafado es porque querían ganar mucho dinero”. Tú sabrás dónde metes tu dinero. O porque eres tonto: ¿quién te va a dar duros a cuatro pesetas? Lo ves incluso entre los propios policías y los juzgados.

Hay ciertas cosas de la policía que tendrían que cambiar mucho. Por ejemplo, no tiene ningún sentido que estos delitos se investiguen de forma tradicional o en un ámbito geográfico, que es lo que hacen. Las unidades de ciberdelincuencia son bastante nuevas. Las unidades arroba de la Guardia Civil o los equipos Edite de derechos telemáticos. Pues, resulta que están por demarcaciones geográficas. Y eso no tiene ningún sentido.

Policías y jueces suelen decir que no saben contra quién actuar. ¿Pueden actuar contra las empresas fantasmas que la trama ha creado en España para empezar a tirar del hilo?

Claro que pueden: son empresas con sede social en España, constituidas ante notario, el nombre de los testaferros es conocido, también el número de las cuentas de los bancos, se sabe que el dinero pasó a otras cuentas... Tirar del hilo es muy fácil. Parte de la investigación tiene que ser en otros países, y resulta que el 75% de los juzgados de España no saben mandar una comisión rogatoria, o consultar con un órgano europeo.

Entonces, ¿qué tiene que pasar para que cambie esta situación?

Muchas cosas: una reforma de la Ley de Enjuiciamiento Criminal, una reforma de Ley de Planta Judicial. En Italia, por ejemplo, los jueces cierran las plataformas, y lo hacen bastante.

Los cuerpos policiales dicen que funciona muy bien la coordinación entre ellos, también la colaboración con Eurojust y Europol.

No es cierto. A nivel europeo el país que funciona relativamente bien es Alemania, porque allí mandan los fiscales de los Länder. Y tienen la suerte de que hay tres o cuatro fiscalías donde los jefes son personas muy aptas, que conocen mucho este campo desde hace años y que son los que llevan a cabo las investigaciones.

El juez de la Audiencia Nacional Santiago Pedraz. Europa Press

Volviendo a la tarea de recuperar el dinero de las víctimas. En la demanda, se exige la responsabilidad civil a los exchanges de criptomonedas, no a los bancos. ¿Por qué?

La normativa contra el blanqueo de capitales, aunque los bancos la incumplan, es bastante clara. Los exchanges tienen que saber también a quién envían los fondos, pero la propia tecnología blockchain hace que eso sea imposible. Es una contradicción. Hay una especie de limbo.

Si yo imputo al BBVA, me dirá que verifica completamente la identidad de la empresa a la que se ha enviado el dinero: una empresa de la República Checa con este IBAN determinado. Ahí tienes la identificación formal. Pero debería ir un paso más allá y, como esa empresa está en el ciclo de blanqueo, debería bloquear esa transacción, pero ya es más película.

A mí me da igual que la tecnología haga imposible ese control. La ley lo marca. O cambia la ley o no le dejes operar. Pero no que se mantenga en este limbo: hay una ley de blanqueo de capitales que se aplica a todos, pero a los exchanges no se le aplica y nadie hace nada. Y te dicen, pero ¿cómo voy a prohibir operar a las casas de cambio de criptomonedas? Pues cambia la ley. U oblígales a operar de otra manera.

¿Ha conseguido recuperar el dinero de alguna víctima en otros casos que has llevado? ¿Qué tipo de pruebas hacen falta para tener éxito?

Sí, hemos recuperado dinero, de forma extrajudicial, es decir, apuntando directamente a los responsables, porque son empresas más o menos legítimas, como en el caso de las chipriotas, y todavía están empezando y no quieren que salte la liebre porque saben que tienen pendientes una base de 1.000 personas a las que están estafando. O a través de bloqueos de cuentas bancarias. De hecho, nosotros tenemos una de las primeras resoluciones que bloquea una criptocartera con un millón y medio de euros.

Pero también depende del grupo de la policía que te toque. El grupo de delitos telemáticos de la Policía Nacional de Zaragoza es muy bueno. Aquí en Madrid hay un par de grupos de la UDEF que son muy buenos también. Pero te puede tocar alguien en una comandancia que no sabe lo que es un bitcoin. O los Mossos d’Esquadra, me consta que están sobresaturados y contestan a los juzgados diciéndoles que no pueden investigar.

Los bancos son responsables: una vez que a la víctima le han vaciado la cuenta, le dan un crédito que los estafadores transfieren automáticamente al extranjero

¿Y cómo es la colaboración con otros países de la UE como Bulgaria?

Estas organizaciones son tan grandes que obviamente están relacionados con los aparatos de poder de países como Bulgaria, Albania.. No me extrañaría que, en muchas ocasiones, policías de Francia o España desconfíen de meter en uno de sus grupos de trabajo internacionales a determinados organismos públicos de terceros países.

La estafa comienza cuando alguien pincha en un anuncio en Facebook o en Google. ¿Estas plataformas tienen también su grado de responsabilidad?

Son cooperadores necesarios. La Ley de Servicios de la Sociedad de la Información, las directivas europeas, son relativamente nuevas. Un página web que sirve para una estafa necesita, para estar operativa, que alguien le venda un dominio y se lo mantenga. Si estás vendiendo un dominio y manteniendo en la nube un dominio que sabes que se está utilizando para una estafa, eres responsable. Sin embargo, la ley, las directivas europeas, excluyen la responsabilidad de los registradores de dominios, a no ser que alguien les avise de un incumplimiento y, aun habiendo sido avisados, lo sigan manteniendo. Una víctima no sabe lo que es un registrador de dominio y buscar quién es el registrador de dominio de una página web es inviable para una víctima.

La CNMV acaba de abrir expediente a Twitter, y le amenaza con una multa de 340 millones de euros por permitir anuncios de entidades no autorizadas. Eran deepfakes de famosos que prometían grandes beneficios. Pero no creo que la CNMV tenga quejas de Twitter y no de Facebook o de Instagram. O de los periódicos online. O de Google.

¿Es posible identificar a los teleoperadores? Hemos visto que todos usan nombres falsos. Algunos se comportan como auténticos psicópatas.

Sí es posible. Los descubres porque son chavales, aparecen en las redes sociales, se van de fiesta, alquilan un reservado VIP en discotecas, posan con coches de lujo… Muchos son latinoamericanos, también hay rumanos y extranjeros que hablan español. Todos trabajan desde call centers en el extranjero. Los hay que están allí mes y medio, y se van. Y los hay que levantan 400.000 euros a una víctima. Los que les mandan son los que me interesan. Y esos sí que son psicópatas. He tenido vídeos de algunos de  ellos celebrando que han estafado 300.000 euros a alguien tocando la campana.

Más sobre este tema
logo infoLibre
stats