· Jonathan Izquierdo · Ciberseguridad ·
GXC Team: desmantelada la mayor red de phishing bancario en España con herramientas IA
La Guardia Civil detiene al líder de GXC Team, la mayor red de phishing bancario en España. 250 webs falsas, 9 malwares Android y herramientas IA para estafar miles de personas.
“Robarle todo a las abuelas”. Ese era el nombre del canal de Telegram donde los clientes del GXC Team compartían sus logros: capturas de pantalla con cuentas bancarias vaciadas, códigos OTP interceptados en tiempo real, y felicitaciones mutuas por cada jubilado estafado. No era un grupo marginal: era el canal de soporte técnico de la mayor plataforma de phishing bancario que ha operado en España, con 288 dominios falsos que suplantaban a 36 bancos españoles, 9 cepas de malware Android y herramientas de inteligencia artificial para automatizar llamadas telefónicas y manipular facturas.
La Guardia Civil, a través de la Unidad Central Operativa (UCO), desmanteló la red el 20 de mayo de 2025 en una operación coordinada en 7 ciudades españolas, deteniendo al líder de la organización: un brasileño de 25 años conocido como “GoogleXcoder” que vivía como nómada digital en San Vicente de la Barquera (Cantabria). La operación fue anunciada públicamente el 9 de octubre de 2025 y se instruyó ante el Juzgado de Instrucción n.º 1 de San Vicente de la Barquera (Ministerio del Interior).
Como perito informático forense, este caso es un referente técnico de primer nivel: combina phishing-as-a-service, malware móvil, ingeniería social automatizada con IA, y una estructura de Crime-as-a-Service (CaaS) con precios, soporte 24/7 y canales de distribución en Telegram y foros de habla rusa. Analizo en profundidad cada componente.
Resumen ejecutivo
En 60 segundos:
- Qué: GXC Team, la mayor red de phishing bancario desmantelada en España
- Líder: brasileño de 25 años (“GoogleXcoder”), detenido en Cantabria
- Infraestructura: 288 dominios phishing, 9 malwares Android, herramientas IA para voz y facturas
- Víctimas: miles de personas en España, con foco deliberado en personas mayores vulnerables
- Bancos suplantados: 36+ entidades españolas (BBVA, Santander, CaixaBank, Sabadell, ING, Bankinter, ABANCA…)
- Modelo: Crime-as-a-Service con precios de 150 a 15.000 USD
- Operación: Guardia Civil UCO + Group-IB + Policía Federal de Brasil + Resecurity
- Redadas: 20 mayo 2025, 7 ciudades españolas simultáneas
La operación: cronología del desmantelamiento
Group-IB, empresa de ciberseguridad con sede en Singapur, comenzó a rastrear la actividad del GXC Team en enero de 2023 y alertó a la UCO de la Guardia Civil tras identificar que la infraestructura principal se localizaba en España (Security Affairs). La investigación se extendió durante más de dos años antes de ejecutar la fase operativa.
Enero 2023: Group-IB detecta la actividad del GXC Team y comienza el rastreo de infraestructura, identificando servidores, dominios y canales de venta en Telegram
2023-2024: La UCO de la Guardia Civil, en coordinación con Group-IB y Resecurity, acumula inteligencia sobre la estructura de la red, identifica al desarrollador principal y mapea la cadena de distribución
Mayo 2025 - Fase operativa: Entrada y registro simultáneo en 7 ciudades españolas: San Vicente de la Barquera, Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción
Detención del líder: “GoogleXcoder”, brasileño de 25 años, es detenido en San Vicente de la Barquera (Cantabria). Se incautan dispositivos electrónicos, servidores y documentación
6 individuos adicionales identificados como colaboradores de la red en diferentes funciones operativas
9 octubre 2025: El Ministerio del Interior anuncia públicamente la operación. El caso se instruye ante el Juzgado de Instrucción n.º 1 de San Vicente de la Barquera
Colaboración internacional: La Policía Federal de Brasil participa en la investigación del componente transnacional de la red
Fuentes: Ministerio del Interior, SecurityWeek, Infosecurity Magazine.
”GoogleXcoder”: perfil de un desarrollador de cibercrimen
El líder del GXC Team no encaja en el estereotipo del cibercriminal que opera desde un sótano. Se trata de un ciudadano brasileño de 25 años que vivía como nómada digital, cambiando de dirección con frecuencia dentro de España y utilizando identidades falsificadas para evitar ser localizado (Xataka).
Su rol no era meramente operativo: era el desarrollador y administrador de toda la infraestructura técnica:
- Kits de phishing: diseñó y mantuvo las plantillas que suplantaban a 36+ bancos españoles y plataformas internacionales
- Malware Android: desarrolló 9 cepas de troyanos bancarios con capacidad de interceptar SMS/OTP
- Herramientas IA: creó un sistema de llamadas automatizadas con voz sintética y un manipulador de facturas con IA
- Infraestructura de venta: gestionó los canales de Telegram y foros rusos donde vendía los kits como servicio
Nómada digital, infraestructura criminal global
El perfil de GoogleXcoder ilustra una tendencia creciente en el cibercrimen: desarrolladores jóvenes con habilidades técnicas avanzadas que operan como proveedores de servicios para redes criminales distribuidas. No necesitan cometer los fraudes directamente: venden las herramientas a terceros y cobran por suscripción, reduciendo su exposición directa al delito final.
Crime-as-a-Service: el modelo de negocio del GXC Team
El GXC Team operaba con un modelo de negocio empresarial completo: catálogo de productos, niveles de suscripción, soporte técnico 24/7 y canal de ventas en Telegram y foros de habla rusa (The Hacker News, KnowBe4).
Catálogo de productos y precios
| Producto | Precio | Descripción |
|---|---|---|
| Kit de phishing (solo web) | $150-900/mes | Plantillas web que suplantan bancos españoles, panel de control para recopilar credenciales |
| Kit + malware Android | ~$500/mes | Kit phishing + APK malicioso que intercepta SMS/OTP del móvil de la víctima |
| Alquiler diario completo | Hasta 900 EUR/día | Acceso temporal a toda la infraestructura para campañas puntuales |
| AI Voice Calling Tool | Incluido en kits premium | Llamadas automatizadas con voz IA suplantando representantes bancarios |
| Business Invoice Swapper | $2.000/semana o $15.000 pago único | IA que escanea bandejas POP3/IMAP, detecta facturas y reemplaza IBAN/BIC automáticamente |
| Soporte técnico 24/7 | Incluido | Asistencia por Telegram para configuración y resolución de problemas |
El canal “Robarle todo a las abuelas”
El nombre del canal de Telegram donde operaban los clientes del GXC Team no dejaba lugar a la ambigüedad sobre las víctimas objetivo. Según El Progreso y Diario Área, los clientes del servicio:
- Contrataban el servicio por cientos de euros diarios para lanzar campañas masivas de phishing
- Compartían capturas de cuentas vaciadas y códigos OTP interceptados como prueba de éxito
- Dirigían los ataques deliberadamente contra personas mayores con bajo conocimiento tecnológico
- Recibían los datos robados en bots de Telegram en tiempo real, permitiendo actuar antes de que la víctima detectara nada
Vulnerabilidad deliberada: personas mayores como objetivo
El targeting deliberado de personas mayores no es casual: según datos de INCIBE, las personas de más de 65 años representan el segmento con menor formación en ciberseguridad y mayor confianza en comunicaciones que aparentan ser institucionales. Los estafadores del GXC Team explotaban esta vulnerabilidad de forma sistemática y sin remordimiento, como evidencia el propio nombre de su canal.
La infraestructura técnica: 288 dominios y 36+ bancos suplantados
Group-IB identificó 288 dominios vinculados al GXC Team, con más de 250 páginas de phishing activas que suplantaban a entidades bancarias y plataformas digitales en España y a nivel internacional (Security Affairs).
Bancos españoles suplantados
| Categoría | Entidades |
|---|---|
| Grandes bancos | BBVA, Santander, CaixaBank, Banco Sabadell |
| Banca mediana | Bankinter, ABANCA, ING Direct, Kutxabank, Ibercaja |
| Banca online | Openbank, EVO Banco, N26 España |
| Otras entidades | Cajasur, Unicaja, Liberbank, Abanca… (36+ en total) |
Plataformas internacionales suplantadas
| Categoría | Plataformas |
|---|---|
| Finanzas | American Express, PayPal |
| E-commerce | Amazon |
| Crypto | Binance, Coinbase |
| Tecnología | Microsoft |
| Gobierno | GOB.ES (portales españoles), my.gov.au (gobierno australiano) |
La suplantación de portales gubernamentales como GOB.ES es particularmente grave: implica que las víctimas creían estar interactuando con la Administración Pública española, lo que añade una capa de confianza institucional que multiplica la eficacia del engaño.
Los 9 malwares Android: cómo interceptaban los OTP
Además de los kits de phishing web, el GXC Team desarrolló 9 cepas de malware para Android diseñadas para interceptar códigos de verificación SMS y OTP (One-Time Password), el factor de autenticación de dos factores que los bancos utilizan para autorizar operaciones (The Hacker News).
Cadena de ataque del malware
Distribución del APK: la víctima recibe un enlace (por SMS, email o phishing web) para descargar una “app de seguridad” o “verificador bancario”. El APK se disfraza con el logo y nombre del banco real
Solicitud de permisos: al instalarse, el malware solicita ser configurado como gestor de SMS por defecto, lo que le otorga acceso total a todos los mensajes entrantes y salientes
Apertura del banco real en WebView: para evitar sospechas, el malware abre la app bancaria legítima dentro de un WebView interno. La víctima ve la interfaz real de su banco y opera con normalidad
Interceptación de OTP: cuando el banco envía el código de verificación por SMS, el malware lo intercepta antes de que la víctima lo vea y lo reenvía instantáneamente a un bot de Telegram controlado por el atacante
Account takeover: con las credenciales robadas (obtenidas previamente via phishing web) y el OTP interceptado, el atacante tiene todo lo necesario para vaciar la cuenta: usuario, contraseña y código de un solo uso
Capacidades técnicas de los malwares
| Capacidad | Descripción | Impacto |
|---|---|---|
| SMS/OTP stealer | Intercepta todos los SMS entrantes, incluidos códigos bancarios | Bypass completo de 2FA por SMS |
| Default SMS handler | Se establece como gestor de mensajes por defecto del dispositivo | El usuario no ve los SMS interceptados |
| WebView bancario | Abre la app/web real del banco dentro del malware | La víctima no sospecha nada |
| Telegram exfiltration | Envía datos robados a bots de Telegram en tiempo real | El atacante actúa en segundos |
| Stealth mode | Se oculta del launcher y de la lista de aplicaciones | Difícil de detectar sin herramientas forenses |
| Persistence | Resiste reinicios y se reactiva con el arranque del dispositivo | Infección persistente |
Por qué el 2FA por SMS ya no es suficiente
Este caso demuestra que la autenticación de dos factores basada en SMS es vulnerable a malware que se establece como gestor de mensajes por defecto. Las alternativas más seguras son las apps de autenticación (Google Authenticator, Authy) o las llaves de seguridad físicas (YubiKey, FIDO2), que no pueden ser interceptadas remotamente por malware.
Herramientas de inteligencia artificial del GXC Team
Lo que diferencia al GXC Team de otras operaciones de phishing convencionales es la integración de inteligencia artificial en múltiples fases de la cadena de ataque (Resecurity, KnowBe4).
AI Voice Calling Tool
El GXC Team desarrolló un sistema de llamadas automatizadas con voz generada por IA que suplantaba a representantes bancarios:
- Síntesis de voz realista: las llamadas utilizaban modelos TTS (text-to-speech) con voces en español que imitaban el tono institucional de los call centers bancarios
- Guiones dinámicos: el sistema adaptaba el guión según las respuestas de la víctima, haciéndolo parecer una conversación natural
- Objetivo: convencer a la víctima de que “verificara su identidad” proporcionando datos bancarios, o de que instalara la aplicación maliciosa “por seguridad”
- Escalabilidad: al automatizar las llamadas, un solo operador podía contactar con decenas de víctimas potenciales por hora
Business Invoice Swapper (IA para fraude de facturas)
La herramienta más sofisticada del arsenal del GXC Team era un sistema de IA para manipulación automática de facturas comerciales, vendido por $2.000/semana o $15.000 como pago único:
| Función | Descripción técnica |
|---|---|
| Escaneo de bandejas | Se conecta a servidores POP3/IMAP comprometidos y busca emails con facturas adjuntas |
| Detección de facturas | Utiliza NLP y OCR para identificar documentos con datos bancarios (IBAN, BIC, importes) |
| Sustitución automática | Reemplaza el IBAN/BIC legítimo de la factura por la cuenta del atacante, manteniendo el formato original intacto |
| Reenvío transparente | El email modificado se reenvía al destinatario original desde la misma cuenta comprometida |
| Generación de emails | NLP para generar emails de phishing gramaticalmente correctos en español, sin los errores típicos que delatan las campañas masivas |
Este tipo de ataque, conocido como BEC (Business Email Compromise), es particularmente devastador para empresas: la víctima paga una factura que parece completamente legítima, pero el dinero va a la cuenta del atacante. Según el FBI, las pérdidas globales por BEC superaron los $50.000 millones entre 2013 y 2023.
Análisis forense: cómo se investiga una red como el GXC Team
Desde la perspectiva del peritaje informático forense, un caso como el GXC Team requiere múltiples líneas de investigación técnica convergentes. La colaboración entre Group-IB, Resecurity, la UCO de la Guardia Civil y la Policía Federal de Brasil ilustra la complejidad de estas investigaciones.
Ingeniería inversa de los APK maliciosos
El análisis forense de las 9 cepas de malware Android implica:
| Herramienta | Función | Evidencia obtenida |
|---|---|---|
| jadx | Descompilador Java/Dalvik | Código fuente reconstruido, lógica de interceptación SMS, URLs de C2 |
| apktool | Desensamblador de recursos | Manifesto Android (permisos solicitados), recursos visuales (logos bancarios), configuraciones |
| Androguard | Análisis estático automatizado | Firmas de malware, certificados de firma, detección de ofuscación |
| Frida | Instrumentación dinámica | Comportamiento en tiempo real, comunicaciones con C2, datos exfiltrados |
| Wireshark | Captura de tráfico de red | Conexiones a bots de Telegram, exfiltración de OTP, servidores C2 |
El objetivo principal es identificar los indicadores de compromiso (IOCs): hashes de los APK, dominios C2, IPs de servidores, tokens de bots de Telegram y certificados de firma digital. Estos IOCs permiten vincular las diferentes cepas con un mismo desarrollador y correlacionar con las víctimas.
Análisis de los kits de phishing
El código fuente de los kits de phishing proporciona evidencia crítica:
- Paneles de administración: revelan estadísticas de víctimas, credenciales robadas almacenadas, y registros de acceso del operador
- Plantillas HTML/CSS/JS: permiten identificar el nivel de sofisticación y las técnicas anti-detección (evasión de sandboxes, detección de bots, geofencing)
- Servidores de recolección: logs que documentan cada credencial robada, con timestamp, IP de la víctima y user-agent
- Tokens de Telegram: identificadores de los bots utilizados para la exfiltración en tiempo real
Extracción forense de dispositivos
La detención de GoogleXcoder y los registros en 7 ciudades implicaron la incautación de múltiples dispositivos electrónicos. El protocolo forense estándar incluye:
- Cellebrite UFED para extracción física de dispositivos móviles (contactos, mensajes, apps, historial de navegación, geolocalización)
- Imagen forense de discos con herramientas como FTK Imager o Guymager, preservando la cadena de custodia según ISO 27037
- Análisis de memoria RAM si los dispositivos se encuentran encendidos, para capturar claves de cifrado, sesiones activas y procesos en ejecución
- Análisis de tráfico de red capturado durante la fase de vigilancia previa a las detenciones
Matching de IOCs con bases de datos públicas
Los hashes de los malwares del GXC Team pueden compararse con bases de datos de amenazas como VirusTotal, MISP y las publicaciones técnicas de Group-IB para confirmar la atribución y descubrir campañas adicionales no detectadas previamente.
Marco legal: delitos y penas aplicables
Los hechos investigados en el caso GXC Team configuran múltiples tipos penales en el Código Penal español, agravados por la existencia de organización criminal y el carácter transnacional de la actividad.
Delitos principales
| Delito | Artículo CP | Pena |
|---|---|---|
| Estafa informática | Art. 248-249 CP | 6 meses a 3 años (tipo básico) |
| Estafa agravada (cuantía, organización) | Art. 250 CP | 1 a 6 años + multa 6-12 meses |
| Acceso ilícito a sistemas | Art. 197 bis CP | 6 meses a 2 años |
| Interceptación de comunicaciones | Art. 197.1 CP | 1 a 4 años + multa 12-24 meses |
| Facilitación de herramientas para delitos informáticos | Art. 197 ter CP | 6 meses a 2 años |
| Blanqueo de capitales | Art. 301 CP | 6 meses a 6 años + multa del tanto al triplo |
| Organización criminal | Art. 570 bis CP | 2 a 5 años (miembros) / 4 a 8 años (dirigentes) |
| Falsedad documental (facturas manipuladas) | Art. 390-392 CP | 6 meses a 3 años |
La combinación de organización criminal (Art. 570 bis) con los delitos de estafa informática agravada convierte este caso en uno de los más graves en materia de ciberdelincuencia en España. Como dirigente de la organización, GoogleXcoder podría enfrentarse a penas acumuladas significativamente superiores a las de los meros ejecutores de los fraudes.
Nota sobre presunción de inocencia
Las personas detenidas e identificadas en esta operación gozan de la presunción de inocencia hasta que se dicte sentencia firme. La información aquí recogida procede de fuentes oficiales (Ministerio del Interior, Guardia Civil) y publicaciones especializadas en ciberseguridad.
Qué hacer si eres víctima de phishing bancario
Si has recibido un SMS o email sospechoso suplantando a tu banco, o si has introducido tus credenciales en una web que ahora sospechas que era falsa, sigue estos pasos de forma inmediata:
No interactúes más con el mensaje: no hagas clic en ningún enlace adicional, no respondas al SMS ni al email, y no descargues ningún archivo adjunto
Contacta con tu banco inmediatamente: llama al número oficial de tu entidad (el que aparece en tu tarjeta, no el del SMS sospechoso) y solicita el bloqueo temporal de tus cuentas y tarjetas. Informa de que podrías haber sido víctima de phishing
Cambia tus contraseñas: desde un dispositivo limpio (no el potencialmente comprometido), cambia la contraseña de tu banca online, email y cualquier servicio donde uses la misma clave. Activa autenticación en dos pasos con app (no SMS)
Si instalaste una app sospechosa en tu móvil: no la desinstales todavía. Pon el móvil en modo avión para cortar la exfiltración de datos y contacta con un perito informático forense para realizar una extracción forense antes de eliminar nada
Preserva toda la evidencia: haz capturas de pantalla del SMS/email, de la web falsa si sigue accesible, del historial de navegación y de cualquier comunicación con los atacantes. No borres nada
Presenta denuncia: acude a la Guardia Civil o Policía Nacional con toda la documentación. Solicita que la denuncia se tramite como delito informático
Solicita un informe pericial: un perito informático puede analizar el APK malicioso, documentar la cadena de ataque, verificar si tus datos han sido exfiltrados y elaborar un informe válido para procedimientos judiciales y reclamaciones bancarias
¿Has sido víctima de phishing bancario o malware Android?
Análisis forense de APK maliciosos, trazabilidad de credenciales robadas, informe pericial para procedimientos judiciales y reclamaciones bancarias. Primera consulta gratuita.
Más informaciónLecciones del caso GXC Team para empresas y ciudadanos
El desmantelamiento del GXC Team ofrece lecciones concretas para diferentes perfiles:
Para ciudadanos (especialmente personas mayores)
- Tu banco nunca te pedirá instalar una app por SMS o email. Si recibes un mensaje así, es una estafa
- Tu banco nunca te llamará para pedirte códigos OTP. Ningún empleado bancario necesita ese dato
- Verifica siempre la URL antes de introducir credenciales: busca el candado HTTPS y comprueba que el dominio es exactamente el de tu banco (ej.
bbva.es, nobbva-seguridad.com) - No descargues apps fuera de Google Play o App Store: los APK distribuidos por enlace directo son el principal vector de infección
Para empresas
- Implementa autenticación multifactor con app o llave física, no con SMS. El caso GXC Team demuestra que el 2FA por SMS es vulnerable a interceptación por malware
- Forma a tu equipo en detección de phishing: el Business Invoice Swapper del GXC Team demuestra que incluso las facturas pueden ser manipuladas automáticamente por IA
- Monitoriza las bandejas de email para detectar accesos no autorizados a cuentas POP3/IMAP
- Contrata un servicio de análisis forense preventivo que revise periódicamente la seguridad de tus sistemas y forme a tu personal
Para profesionales del derecho
- La evidencia digital de phishing tiene validez judicial cuando se preserva correctamente con cadena de custodia: el kit de phishing, el APK malicioso, los logs de C2 y los tokens de Telegram son pruebas técnicas fundamentales
- Los informes periciales sobre malware pueden demostrar el mecanismo exacto de la estafa, lo que refuerza la posición de la víctima en reclamaciones bancarias bajo la Directiva PSD2
- La cooperación internacional es clave: el GXC Team fue desmantelado gracias a la colaboración entre Guardia Civil, Group-IB (Singapur), Resecurity (EEUU) y Policía Federal de Brasil
Preguntas relacionadas
¿Qué es el GXC Team y por qué es relevante para la ciberseguridad en España?
El GXC Team es la mayor red de phishing bancario desmantelada en España, operada como Crime-as-a-Service por un desarrollador brasileño de 25 años. Su relevancia radica en que vendía kits de phishing que suplantaban a 36+ bancos españoles, malware Android para interceptar OTP y herramientas de IA para automatizar llamadas y manipular facturas. La Guardia Civil UCO desmanteló la red en mayo de 2025 con apoyo de Group-IB y Resecurity (Ministerio del Interior).
¿Cómo interceptaban los códigos OTP bancarios las apps del GXC Team?
Los 9 malwares Android del GXC Team se instalaban como apps falsas con logo bancario real. Al solicitar ser el gestor de SMS por defecto del dispositivo, interceptaban todos los mensajes entrantes, incluidos los códigos OTP bancarios, antes de que la víctima pudiera verlos. Los datos se reenviaban en tiempo real a bots de Telegram controlados por los atacantes (The Hacker News). La alternativa segura es usar apps de autenticación (Google Authenticator, Authy) en lugar de SMS.
¿Cómo puede un perito informático ayudarme si he sido víctima de phishing bancario?
Un perito informático forense analiza el APK malicioso mediante ingeniería inversa (jadx, apktool, Androguard), documenta la cadena de ataque completa, extrae la evidencia del dispositivo comprometido con cadena de custodia ISO 27037 y elabora un informe pericial válido para procedimientos judiciales y reclamaciones bancarias. Este informe es clave para demostrar que la víctima actuó de buena fe y que el fraude fue técnicamente sofisticado, lo que refuerza la posición bajo la Directiva PSD2. Solicitar consulta pericial.
Referencias y fuentes
Ministerio del Interior (2025). “La Guardia Civil desmantela una red de phishing bancario y detiene al principal desarrollador de kits de robo de credenciales en España”. https://www.interior.gob.es/opencms/gl/detalle/articulo/La-Guardia-Civil-desmantela-una-red-de-phishing-bancario-y-detiene-al-principal-desarrollador-de-kits-de-robo-de-credenciales-en-Espana/
Xataka (2025). “La mayor red de phishing bancario en España tenía un nombre: ‘Robarle todo a las abuelas’”. https://www.xataka.com/seguridad/mayor-red-phishing-bancario-espana-tenia-nombre-robarle-todo-a-abuelas
The Hacker News (2024). “Spanish Hackers Bundle Phishing Kits with Malicious Android Apps”. https://thehackernews.com/2024/07/spanish-hackers-bundle-phishing-kits.html
Security Affairs (2025). “Cybercrime ring GXC Team dismantled in Spain, 25-year-old leader detained”. https://securityaffairs.com/183252/cyber-crime/cybercrime-ring-gxc-team-dismantled-in-spain-25-year-old-leader-detained.html
Resecurity (2024). “Cybercriminals Implemented Artificial Intelligence (AI) for Invoice Fraud”. https://www.resecurity.com/blog/article/cybercriminals-implemented-artificial-intelligence-ai-for-invoice-fraud
SecurityWeek (2025). “Spanish Authorities Dismantle GXC Team Crime-as-a-Service Operation”. https://www.securityweek.com/spanish-authorities-dismantle-gxc-team-crime-as-a-service-operation/
Infosecurity Magazine (2025). “Spain Arrests Leader of GXC Team”. https://www.infosecurity-magazine.com/news/spain-arrests-leader-gxc-team/
KnowBe4 (2024). “New Phishing Kit Uses Voice Call Generator to Impersonate Spanish Banks”. https://blog.knowbe4.com/new-phishing-kit-uses-voice-call-generator-to-impersonate-spanish-banks
El Progreso (2025). “‘Robarle todo a las abuelas’: así operaba una de las redes de phishing más agresivas de España”. https://www.elprogreso.es/articulo/tecnologia/robarle-todo-abuelas-asi-operaba-redes-phishing-mas-agresivas-espana/202510122240261915149.html
Diario Área (2025). “Cae el grupo ‘Robarle todo a las abuelas’, una red de phishing que estafó a miles de personas en toda España”. https://www.diarioarea.com/la-linea/cae-el-grupo-robarle-todo-a-las-abuelas-una-red-de-phishing-que-estafo-a-miles-de-personas-en-toda-espana/
Este artículo analiza información pública sobre el desmantelamiento del GXC Team publicada por el Ministerio del Interior, la Guardia Civil, Group-IB, Resecurity y medios de comunicación especializados. Las personas detenidas e identificadas gozan de la presunción de inocencia. Los datos técnicos sobre las herramientas y el modus operandi se proporcionan con fines informativos, de prevención y de concienciación en ciberseguridad.
Sobre el autor: Jonathan Izquierdo es perito informático forense, ex-CTO y 5x AWS Certified. Especializado en análisis de malware, investigación de fraudes digitales y elaboración de informes periciales con validez judicial. Metodología ISO 27037 para cadena de custodia digital.
Última actualización: 15 de febrero de 2026
