La operación “Mosenik” de la Guardia Civil ha puesto el foco en algo que rara vez se ve con tanta claridad: la capa de infraestructura tecnológica que sostiene muchas de las grandes campañas de smishing y llamadas fraudulentas que sufren usuarios y empresas. Detrás de esas llamadas que se hacen pasar por la Policía Nacional o el Banco de España no había solo un “call center pirata”, sino una plataforma industrial de telecomunicaciones diseñada para explotar al máximo la red móvil.

Más allá de la crónica policial, el caso es un ejemplo contundente de cómo el hardware de telecomunicaciones profesional —SIMBOX, módems GSM, tarjetas SIM a gran escala— puede ser reutilizado como “motor” de ciberestafas masivas.

---

Una fábrica de fraude con 35 SIMBOX y casi 900 módems GSM

Según los datos difundidos por Interior y la Guardia Civil, la infraestructura desmantelada estaba compuesta, entre otros elementos, por:

• 35 SIMBOX industriales
• 865 módems GSM profesionales integrados en esas SIMBOX
• 852 tarjetas SIM activas
• Más de 60.000 tarjetas SIM nacionales listas para usar
• 10.000 SIM nuevas aún sin activar
• Varios ordenadores y abundante material informático y tecnológico

Cada módem operaba como si fuera un teléfono móvil independiente y era capaz de enviar entre 12 y 18 mensajes por minuto, lo que elevaba la capacidad total del sistema a unos 2,5 millones de SMS diarios. Todo ello, controlado por una única persona mediante una decena de ordenadores.

Desde el punto de vista técnico, se trata de una plataforma de mensajería masiva muy similar a las que usan empresas legítimas para enviar notificaciones, códigos 2FA o campañas de marketing… pero orientada por completo al fraude.

---

Qué es una SIMBOX y por qué es tan atractiva para los delincuentes

Las SIMBOX (a menudo denominadas GSM gateways o SIM gateways) son dispositivos que permiten gestionar docenas o cientos de tarjetas SIM desde un mismo equipo. Internamente alojan:

• Bancadas de módems GSM profesionales
• Bandejas o “bancos” de tarjetas SIM
• Firmware y software de control para gestionar el tráfico de llamadas y SMS

En usos legítimos, se emplean para:

• Rutas de menor coste (least-cost routing) en operadores y call centers
• Plataformas de mensajería corporativa
• Sistemas machine-to-machine e IoT que necesitan muchas líneas móviles

En manos de grupos criminales, sin embargo, ofrecen tres ventajas clave:

1. Escala: enviar enormes volúmenes de SMS y llamadas sin depender de una única línea.
2. Rotación de identidad: cambiar de número constantemente cambiando de SIM o de módem.
3. Distribución geográfica flexible: si el hardware se encapsula en maletines o racks compactos, puede trasladarse o reubicarse con relativa facilidad.

En este caso, la Guardia Civil destaca la intervención de un maletín con una SIMBOX transportable, capaz de operar desde cualquier lugar con acceso a Internet vía WiFi o red móvil, lo que complica aún más su rastreo.

---

Ingeniería para la estafa: automatización, rotación y segmentación

La operación describe un sistema con varios elementos típicos de una arquitectura de fraude telecom “as-a-service”:

• Automatización extrema
  El envío de llamadas y mensajes era gestionado desde una infraestructura central que programaba el tráfico sobre las SIMBOX. Desde el punto de vista de software, esto implica algún tipo de plataforma que orquesta qué módem usa qué SIM, con qué contenido, a qué ritmo y hacia qué destino.
• Rotación constante de remitentes
  Los números de teléfono origen se cambiaban con frecuencia, y las líneas permanecían activas solo un corto periodo tras el alta. Esto dificulta la detección y el bloqueo por parte de operadoras y sistemas antifraude, ya que el patrón es dinámico y efímero.
• Identidades falsas en masa
  Las tarjetas SIM se compraban en grandes cantidades a distintos proveedores y se activaban utilizando identidades falsas. Sin KYC efectivo o con controles laxos, es posible abastecer a este tipo de infraestructuras durante meses.
• Segmentación de víctimas
  Aunque el sistema era capaz de contactar con millones de números, los investigadores señalan que se estudiaban perfiles de potenciales víctimas y se dirigían campañas a colectivos concretos, incluyendo ciudadanos rusos y ucranianos residentes en España, a los que contactaban en su propio idioma.

Desde la perspectiva tecnológica, no estamos ante un simple envío masivo de spam, sino ante una infraestructura flexible y programable, preparada para adaptar guiones, idiomas, numeraciones y volúmenes en función de cada campaña delictiva.

---

Infraestructura como servicio… para el cibercrimen

Otro elemento relevante del caso es el rol del detenido. Según la Guardia Civil, su función principal era:

• Crear y mantener activo el sistema
• Vender este servicio a redes de ciberdelincuentes de todo el mundo

Es decir, no se limitaba a ejecutar estafas propias, sino que operaba como un proveedor de infraestructura especializado. Es el mismo patrón que se observa en otros ámbitos del cibercrimen:

• Malware-as-a-Service: alquiler de troyanos, ransomware o botnets.
• Access-as-a-Service: venta de accesos a redes corporativas ya comprometidas.
• Phishing Kits: plantillas listas para clonar webs bancarias o de servicios.

En este caso, la especialización es la capa de telecomunicaciones móviles: quien contrata el servicio no necesita saber cómo gestionar SIMBOX o módems GSM; solo necesita pagar para lanzar campañas de smishing o vishing a gran escala.

---

El reto para las operadoras y los defensores

Casos como “Mosenik” plantean varios desafíos técnicos para el ecosistema de ciberseguridad y telecomunicaciones:

1. Detección de patrones de tráfico anómalos
   Identificar que un conjunto de SIM está enviando tráfico claramente automatizado (volúmenes, horarios, repetición de patrones) sin dañar servicios legítimos de mensajería corporativa es un problema complejo. Requiere análisis avanzado de comportamiento y colaboración entre operadoras y fuerzas de seguridad.
2. Gestión de altas masivas y KYC
   La facilidad para adquirir decenas de miles de SIM y activarlas con identidades falsas sigue siendo un vector crítico. Sin controles más estrictos, estas plataformas pueden renacer con nuevas tarjetas.
3. Limitaciones de los mecanismos tradicionales de bloqueo
   El bloqueo de numeraciones concretas llega tarde cuando el sistema está diseñado precisamente para rotar continuamente números y tarjetas. La lucha pasa por elevar la visibilidad y el control a nivel de infraestructura y por mecanismos más sofisticados de reputación y filtrado.

---

España como escenario y laboratorio

La operación, dirigida por el Juzgado de Instrucción nº 1 de Novelda y desarrollada por unidades de Alicante, Barcelona y Tarragona, pone de relieve que España no es solo un país objetivo de campañas globales, sino también un lugar donde puede alojarse parte de la infraestructura crítica del cibercrimen internacional.

El valor estimado del material intervenido —unos 400.000 euros— y la naturaleza industrial del sistema apuntan a un negocio con un impacto económico potencial de varios millones de euros en estafas. La investigación sigue abierta y la Guardia Civil continúa analizando el material para localizar otros implicados y nuevas víctimas.

---

En un contexto donde el fraude por SMS, llamadas y mensajes automatizados no deja de crecer, casos como “Mosenik” recuerdan que la lucha contra el cibercrimen no se libra solo en el terreno del software o de la ingeniería social, sino también en la capa física y de red: racks, módems, tarjetas SIM y maletines que, conectados a Internet, pueden convertirse en auténticas fábricas de estafas en tiempo real.

Fuente: Noticias sobre ciberseguridad