· Jonathan Izquierdo · Ciberseguridad ·
Operación Garona: 34 detenidos de la red Black Axe por fraude MitM en España
Europol y Policía Nacional desmantelan en Sevilla, Madrid y Málaga una célula de la red Black Axe dedicada al fraude BEC. 5,9 millones de euros estafados mediante interceptación de emails y facturas.
5.937.589,70 euros. Esa es la cifra total defraudada por una célula de la organización criminal transnacional Black Axe desmantelada en España en enero de 2026. La Operación Garona, coordinada por Europol, la Policía Nacional española y la Policía Criminal de Baviera (Alemania), culminó con 34 detenidos en Sevilla, Madrid, Málaga y Barcelona. El modus operandi: interceptar comunicaciones empresariales por correo electrónico, suplantar a proveedores reales y modificar los datos bancarios de las facturas para desviar transferencias a cuentas controladas por la red criminal.
Como perito informático forense, analizo en este artículo las cinco fases del fraude BEC (Business Email Compromise) empleado por Black Axe, las evidencias digitales que deja cada fase, el marco legal aplicable en España y las acciones que debe tomar cualquier empresa víctima de este tipo de ataque.
Resumen ejecutivo
En 60 segundos:
- Qué: Operación Garona - 34 detenidos vinculados a Black Axe por fraude BEC/MitM en España
- Dónde: 28 detenidos en Sevilla, 3 en Madrid, 2 en Málaga, 1 en Barcelona
- Cuánto: 5.937.589,70 euros defraudados (3,2 millones atribuidos directamente a esta célula)
- Cómo: Interceptación de emails corporativos, modificación de datos bancarios en facturas, blanqueo mediante red de mulas en Europa
- Agencias: Policía Nacional + Policía Criminal de Baviera + Europol
- Incautaciones: 66.403 euros en efectivo, 119.352 euros en cuentas bloqueadas, 5 vehículos
- Estado: 4 cabecillas en prisión preventiva; investigación abierta por el Juzgado de Instrucción n.º 18 de Sevilla
- Delitos: Organización criminal, estafa agravada, blanqueo de capitales, falsedad documental, tráfico de vehículos
Los hechos: cronología de la Operación Garona
La investigación arranca en septiembre de 2023, cuando la Policía Nacional detecta actividad ilícita vinculada a la organización transnacional Black Axe operando desde varias ciudades españolas. El Ministerio del Interior confirma que la coordinación internacional se establece de inmediato con Europol y la Policía Criminal del Estado de Baviera (Alemania), país donde se identifican víctimas de la misma red.
Septiembre 2023: La Policía Nacional inicia la investigación tras detectar patrones de fraude BEC vinculados a miembros de Black Axe residentes en España
Fase de inteligencia: Europol despliega apoyo analítico y facilita el intercambio de información con las autoridades alemanas. Se identifican decenas de cuentas bancarias utilizadas como receptoras de fondos desviados
Cartografía de la red de mulas: Los investigadores trazan la estructura de blanqueo: una red de intermediarios (mulas informáticas y testaferros) distribuidos por varios países europeos que recibían, transferían y retiraban los fondos defraudados
Operación de detención: En enero de 2026, se ejecutan de forma simultánea las detenciones en cuatro ciudades: 28 en Sevilla, 3 en Madrid, 2 en Málaga y 1 en Barcelona
Registros e incautaciones: Se intervienen 66.403 euros en efectivo, se bloquean 119.352,07 euros en cuentas bancarias y se recuperan 5 vehículos de gama media-alta adquiridos mediante sociedades pantalla
Prisión para los cabecillas: El Juzgado de Instrucción n.º 18 de Sevilla decreta prisión preventiva para los 4 principales líderes de la célula
Investigación abierta: Las diligencias continúan para identificar a más víctimas, rastrear el destino final de los fondos y desarticular los nodos internacionales de la red
Fuentes: Europol, Ministerio del Interior, Gacetín Madrid, El Debate.
Qué es Black Axe: de fraternidad universitaria a red criminal global
Black Axe (también conocida como Neo Black Movement of Africa o NBM) fue fundada en 1977 en la Universidad de Benín (Nigeria) como una confraternidad estudiantil. Con el tiempo, según Europol, se transformó en “una organización criminal estructurada y violenta dedicada principalmente al cibercrimen financiero”.
| Dato | Detalle |
|---|---|
| Fundación | 1977, Universidad de Benín, Nigeria |
| Miembros estimados | Aproximadamente 30.000 registrados, más mulas y facilitadores |
| Presencia | 60 zonas en Nigeria + 35 territorios en el extranjero |
| Actividades | Fraude BEC, tráfico de drogas, trata de personas, secuestro, robo a mano armada, falsedad documental |
| Operaciones previas | Más de 400 arrestos desde 2022 en múltiples países (The Hacker News) |
| Ingresos estimados | Miles de millones de dólares anuales en actividades ilícitas a escala global |
Según NBC News, la red explotaba a “ciudadanos españoles en situación económicamente vulnerable, especialmente en regiones con tasas elevadas de desempleo”, para reclutarlos como mulas bancarias. Europol confirma que “la mayoría de estos individuos vulnerables son nacionales españoles y son explotados para facilitar las actividades criminales de la red”.
El modus operandi: 5 fases del fraude BEC/MitM de Black Axe
El fraude Man-in-the-Middle aplicado al correo electrónico corporativo (BEC) es la especialidad de esta célula. A diferencia de un phishing masivo convencional, el BEC es un ataque dirigido, paciente y de alto rendimiento. Así operaba la red desmantelada en la Operación Garona:
Fase 1: spear-phishing para robo de credenciales
El primer paso es obtener acceso a las cuentas de correo corporativas de las víctimas. Los atacantes envían emails de spear-phishing altamente personalizados, diseñados para que el empleado introduzca sus credenciales en una página de login falsa que imita Office 365 o Google Workspace.
Este proceso de credential harvesting es quirúrgico: los atacantes investigan previamente a la empresa objetivo, identifican a empleados clave (dirección financiera, contabilidad, gerencia) y personalizan cada email con datos reales de la organización.
| Vector de phishing | Técnica | Tasa de éxito estimada |
|---|---|---|
| Página login falsa Office 365 | Clon pixel-perfect del portal Microsoft | 12-15% según Cofense 2025 |
| Página login falsa Google Workspace | Replica del SSO de Google con dominio typosquatted | 10-13% |
| Adjunto PDF con enlace | Factura o documento que redirige a formulario de credenciales | 8-10% |
| QR phishing (quishing) | Código QR en email que lleva a portal de login falso | 7-9% |
Fase 2: monitorización silenciosa y reglas de reenvío
Una vez dentro de la cuenta de correo, los atacantes no actúan de inmediato. Configuran reglas de reenvío automático (mail forwarding rules) que desvían en silencio los mensajes que contienen palabras clave como “factura”, “transferencia”, “pago”, “IBAN” o “proveedor” a una dirección controlada por ellos.
Esta fase de vigilancia puede durar semanas o incluso meses. El objetivo es mapear las relaciones comerciales de la empresa, identificar proveedores recurrentes, conocer los ciclos de facturación y entender el tono de comunicación interno.
Dato forense clave
Las reglas de reenvío creadas por los atacantes en Office 365 o Google Workspace son uno de los artefactos forenses más importantes en un caso BEC. Un perito puede extraerlas del audit log de administración de Microsoft 365 (Unified Audit Log) o del registro de actividad de Google Admin. Estas reglas demuestran la interceptación y son prueba directa del acceso no autorizado.
Fase 3: movimiento lateral hacia departamentos financieros
Con la inteligencia recopilada, los atacantes expanden su acceso. Si la cuenta comprometida no pertenece al departamento financiero, realizan movimiento lateral dentro de la organización: envían emails internos creíbles desde la cuenta comprometida para obtener credenciales de empleados con acceso a pagos o para conseguir que estos procesen transferencias directamente.
Fase 4: manipulación de facturas y desvío de pagos
Este es el momento crítico del fraude. Cuando detectan que una factura legítima está en proceso de pago, los atacantes intervienen de dos formas:
- Modificación directa: Desde la cuenta comprometida, reenvían la factura con los datos bancarios (IBAN/SWIFT/BIC) modificados, indicando un “cambio de cuenta bancaria del proveedor”
- Suplantación de dominio: Registran un dominio casi idéntico al del proveedor real (por ejemplo,
empresa-proveedora.comen lugar deempresaproveedora.com) y envían la factura manipulada desde ahí
En ambos casos, la víctima realiza la transferencia creyendo que paga a su proveedor habitual. Los fondos llegan a una cuenta controlada por la red.
| Elemento de la factura | Original | Manipulado por Black Axe |
|---|---|---|
| Remitente email | [email protected] | [email protected] (typosquatting) |
| Cuerpo del email | Idéntico al historial real | Copia exacta con IBAN modificado |
| Factura PDF | IBAN ES76 2100 xxxx | IBAN ES91 0049 xxxx (cuenta mula) |
| Logotipo y formato | Original del proveedor | Réplica exacta |
| Firma email | Original del comercial | Copia idéntica |
Fase 5: blanqueo mediante red de mulas en Europa
Una vez que la transferencia llega a la cuenta controlada, se activa la cadena de blanqueo. Según CyberScoop, Black Axe mantenía “un extenso sistema de mulas informáticas y testaferros distribuidos por varios países europeos”. Los fondos se fragmentan y redistribuyen en cascada para dificultar el rastreo:
Cuenta receptora inicial: Los fondos llegan a una cuenta española abierta a nombre de una mula o testaferro
Fragmentación: El importe se divide en transferencias más pequeñas (por debajo de los umbrales de alerta de prevención de blanqueo)
Reenvío internacional: Las cantidades fragmentadas se transfieren a cuentas en otros países europeos
Conversión y retirada: En los destinos finales, los fondos se retiran en efectivo, se convierten en criptomonedas o se utilizan para adquirir bienes (como los 5 vehículos de gama media-alta incautados en esta operación)
Impacto financiero y material incautado
La Operación Garona ha puesto cifras concretas a la actividad de esta célula. Según los datos publicados por Europol y Security Affairs:
| Concepto | Cifra |
|---|---|
| Fraude total documentado | 5.937.589,70 euros |
| Atribuido directamente a esta operación | 3.200.000 euros |
| Efectivo incautado | 66.403 euros |
| Cuentas bancarias bloqueadas | 119.352,07 euros |
| Vehículos recuperados | 5 (gama media-alta, adquiridos mediante sociedades pantalla) |
| Detenidos | 34 (28 Sevilla, 3 Madrid, 2 Málaga, 1 Barcelona) |
| En prisión preventiva | 4 (cabecillas principales) |
| Años de actividad documentada | Más de 15 años |
Los 5.937.589,70 euros representan el volumen total de fraude documentado vinculado a esta célula a lo largo de su actividad. Los 3,2 millones corresponden específicamente a los hechos investigados en esta operación. La diferencia corresponde a fraudes históricos atribuidos a la misma estructura, según confirmó El Debate.
Cómo analiza un perito informático un fraude BEC
Desde la perspectiva del peritaje informático de email, un caso BEC como el de la Operación Garona requiere un análisis forense multicapa. Cada fase del ataque deja artefactos digitales que un perito puede extraer, documentar y presentar como evidencia judicial.
1. Análisis de cabeceras de email (headers)
Las cabeceras de un correo electrónico contienen información técnica que el usuario habitual nunca ve, pero que es crítica para determinar el origen real del mensaje:
- Received: Cadena de servidores por los que transitó el email. Permite reconstruir la ruta completa
- Return-Path: Dirección real de envío (puede diferir del campo “From” visible)
- Message-ID: Identificador único generado por el servidor de origen
- X-Originating-IP: Dirección IP del dispositivo desde el que se envió el email
2. Verificación SPF, DKIM y DMARC
Estos tres protocolos de autenticación son la defensa técnica contra la suplantación de email:
| Protocolo | Qué verifica | Qué revela en un caso BEC |
|---|---|---|
| SPF (Sender Policy Framework) | Si el servidor de envío está autorizado por el dominio | Si el email proviene de un servidor legítimo del proveedor o de uno externo |
| DKIM (DomainKeys Identified Mail) | Firma criptográfica del mensaje | Si el contenido fue modificado tras el envío original |
| DMARC (Domain-based Message Authentication) | Política combinada SPF+DKIM | Si el dominio del remitente tiene protección configurada y qué política aplica |
Un resultado DKIM fail en un email que supuestamente proviene de un proveedor conocido es evidencia directa de manipulación o suplantación.
3. Auditoría de logs de Office 365 / Google Workspace
El análisis del Unified Audit Log de Microsoft 365 o del registro de actividad de Google Admin Console permite identificar:
- Inicios de sesión sospechosos: IPs de origen inusuales, geolocalizaciones imposibles, user-agents desconocidos
- Reglas de reenvío creadas: Las mailbox rules configuradas por el atacante para interceptar emails con keywords específicas
- Accesos a buzones de otros empleados: Movimiento lateral dentro de la organización
- Cambios en la configuración de seguridad: Desactivación de MFA, modificación de políticas de acceso condicional
4. Análisis de dominio y typosquatting
Cuando el atacante utiliza un dominio suplantado, el perito documenta:
- Registro WHOIS: Fecha de creación del dominio falso (típicamente registrado días antes del ataque)
- Comparación visual: Diferencias tipográficas entre el dominio real y el falso (l vs 1, rn vs m, etc.)
- Certificado SSL: Entidad emisora y fecha del certificado del dominio falso
- Registros MX y A: Infraestructura de correo del dominio suplantado
5. Trazabilidad de las transferencias
El perito puede documentar la cadena completa de movimientos financieros:
- Orden de transferencia: Captura forense del email con la factura manipulada
- Datos bancarios modificados: Comparación entre los datos del proveedor real y los insertados por el atacante
- Confirmaciones bancarias: Evidencia de la ejecución de la transferencia
- Timeline completo: Reconstrucción cronológica desde la interceptación del email hasta el desvío de fondos
6. Cadena de custodia conforme a ISO 27037
Todo el proceso se documenta siguiendo la metodología ISO 27037 para garantizar la admisibilidad de la evidencia en juicio:
- Hash SHA-256 de cada pieza de evidencia digital
- Registro fotográfico del proceso de adquisición
- Acta de cadena de custodia firmada
- Informe pericial con metodología reproducible
Dato relevante: el FBI cifra las pérdidas BEC en 55.500 millones de dólares
Según el FBI Internet Crime Complaint Center (IC3), las pérdidas acumuladas por fraude BEC entre 2013 y 2024 ascienden a 55.500 millones de dólares a nivel global. Es la segunda categoría más costosa de cibercrimen reportada, con 2.700 millones solo en 2024. En España, el fraude online representó más de 25.000 incidentes gestionados por INCIBE en 2025.
Marco legal: delitos y penas aplicables
Los 34 detenidos en la Operación Garona se enfrentan a cargos por múltiples delitos tipificados en el Código Penal español:
Pertenencia a organización criminal (Art. 570 bis CP)
La pertenencia activa a una organización criminal se castiga con:
- Miembros activos: Prisión de 1 a 3 años
- Fundadores, dirigentes o mandos: Prisión de 2 a 5 años (aplicable a los 4 cabecillas en prisión preventiva)
- Agravante por finalidad económica: Pena en su mitad superior cuando la organización tiene por finalidad la comisión de delitos contra el patrimonio
Estafa agravada (Arts. 248-250 CP)
- Tipo básico (Art. 248 CP): Prisión de 6 meses a 3 años
- Tipo agravado (Art. 250 CP): Cuando la cuantía supera los 50.000 euros, la pena asciende a prisión de 1 a 6 años y multa de 6 a 12 meses
- Con 5,9 millones de euros defraudados, la agravante por cuantía especialmente significativa es automática
Blanqueo de capitales (Arts. 301-302 CP)
- Tipo básico (Art. 301 CP): Prisión de 6 meses a 6 años y multa del tanto al triplo
- Agravante por organización (Art. 302 CP): Pena en su mitad superior cuando se realiza por organización dedicada a estos fines
- Aplicable tanto a los líderes como a las mulas bancarias, según su grado de conocimiento
Falsedad documental (Art. 390-392 CP)
La manipulación de facturas y la creación de documentos falsos (contratos de compraventa de vehículos, identidades falsas) se castiga con:
- Falsedad en documento mercantil (Art. 392 CP): Prisión de 6 meses a 3 años y multa de 6 a 12 meses
Acceso ilícito a sistemas informáticos (Art. 197 bis CP)
El acceso no autorizado a las cuentas de correo corporativas de las víctimas se castiga con prisión de 6 meses a 2 años. Cuando el acceso se realiza con ánimo de lucro o se facilitan los datos obtenidos a terceros, la pena se agrava.
Presunción de inocencia
Las 34 personas detenidas en la Operación Garona gozan de la presunción de inocencia. La determinación de su responsabilidad penal corresponde exclusivamente a los tribunales de justicia. Los datos de este artículo proceden de fuentes oficiales (Europol, Ministerio del Interior, Policía Nacional) y de medios de comunicación acreditados.
Qué hacer si tu empresa es víctima de fraude BEC
Si tu empresa ha realizado una transferencia a una cuenta fraudulenta tras recibir un email manipulado, estos son los pasos inmediatos:
Contactar con tu banco en las primeras 24 horas: Solicita la anulación o retrocesión de la transferencia. Los bancos pueden intentar recuperar fondos si actúas antes de que el dinero sea movido a otra cuenta. El protocolo Swift gNET permite solicitar la devolución de transferencias internacionales
Preservar toda la evidencia digital: No borres los emails fraudulentos ni los legítimos. No modifiques las reglas del buzón de correo. No cambies contraseñas hasta que un profesional haya documentado el estado actual del sistema. Toda la evidencia debe preservarse antes de cualquier acción correctiva
Presentar denuncia policial: Acude a la Policía Nacional o Guardia Civil con toda la documentación: emails originales (exportados en formato .eml o .msg, no capturas de pantalla), facturas legítimas y manipuladas, justificantes de transferencia, datos del proveedor real
Contactar con un perito informático forense: Un informe pericial profesional documenta la interceptación del correo, identifica los artefactos del atacante (reglas de reenvío, accesos no autorizados, dominios suplantados), traza el flujo financiero y genera un informe admisible en juicio conforme a ISO 27037
Notificar a la AEPD si hay datos personales comprometidos: Si el atacante tuvo acceso a datos personales de clientes, empleados o terceros a través del correo comprometido, existe obligación de notificación a la Agencia Española de Protección de Datos en un plazo de 72 horas (Art. 33 RGPD)
Auditar la seguridad del correo corporativo: Cambiar todas las contraseñas, revocar tokens de sesión activos, revisar y eliminar reglas de reenvío sospechosas, activar MFA en todas las cuentas, revisar los logs de acceso de los últimos 90 días
¿Tu empresa ha sido víctima de fraude BEC?
Ofrecemos análisis forense de correo electrónico: verificación de cabeceras, auditoría de Office 365/Google Workspace, análisis de dominios suplantados y elaboración de informes periciales válidos en juicio. Consulta sin compromiso.
Solicitar análisis forenseCómo prevenir el fraude BEC en tu empresa
La Operación Garona confirma que el fraude BEC sigue siendo una de las amenazas más rentables para las organizaciones criminales. Estas son las medidas preventivas esenciales:
| Medida | Descripción | Impacto |
|---|---|---|
| MFA en todo el correo | Autenticación multifactor obligatoria para todas las cuentas de email corporativo | Bloquea el 99,9% de los ataques de credential harvesting (Microsoft, 2025) |
| DMARC en modo reject | Configurar política DMARC p=reject para que los servidores rechacen emails no autenticados que usen tu dominio | Impide que terceros envíen emails suplantando tu dominio |
| Protocolo de verificación de pagos | Verificar por teléfono (número conocido, no el del email) cualquier cambio de datos bancarios de un proveedor | Detecta el 100% de los intentos de cambio de IBAN fraudulento |
| Auditoría periódica de reglas de buzón | Revisión mensual de las reglas de reenvío y filtros en todos los buzones corporativos | Detecta la presencia de atacantes silenciosos en los buzones |
| Formación anti-phishing | Simulaciones de phishing periódicas para empleados de todos los departamentos | Reduce la tasa de clic en phishing un 75% en 12 meses (KnowBe4, 2025) |
| Monitorización de dominios similares | Vigilar el registro de dominios typosquatted similares al de tu empresa y proveedores clave | Alerta temprana antes de que el dominio falso se use en un ataque |
Preguntas frecuentes
¿Qué diferencia hay entre phishing y fraude BEC?
El phishing es un ataque masivo e indiscriminado: se envían miles de emails genéricos esperando que un porcentaje de destinatarios caiga. El fraude BEC (Business Email Compromise) es un ataque dirigido y personalizado contra una empresa concreta. El atacante investiga a la víctima, accede a sus sistemas de correo, monitoriza sus comunicaciones durante semanas y lanza el ataque en el momento preciso (cuando detecta una factura en proceso de pago). El rendimiento por víctima en un ataque BEC es exponencialmente mayor: la media por incidente BEC fue de 125.000 dólares en 2024 según el FBI IC3, frente a cientos de euros en un phishing convencional.
¿Puede un perito informático recuperar el dinero de un fraude BEC?
El perito no recupera el dinero directamente, pero su trabajo es esencial para que la recuperación sea posible. El informe pericial documenta técnicamente la interceptación del correo, identifica las cuentas receptoras, traza el flujo de fondos y genera evidencia admisible en juicio. Con esta documentación, los abogados pueden solicitar medidas cautelares de bloqueo de cuentas, y las fuerzas de seguridad pueden activar los protocolos de cooperación internacional (Eurojust, MLAT) para congelar fondos en otros países. Según INCIBE, las operaciones coordinadas como Garona son cada vez más efectivas para interceptar fondos antes de que sean dispersados.
¿Cuánto cuesta un peritaje forense de email en un caso BEC?
El coste depende de la complejidad del caso. Un análisis de cabeceras y verificación SPF/DKIM/DMARC de un email aislado puede costar entre 400 y 800 euros. Un caso BEC completo que incluya auditoría de logs de Office 365/Google Workspace, análisis de reglas de reenvío, estudio de dominios suplantados, trazabilidad financiera y elaboración de informe pericial para juicio oscila entre 1.500 y 3.000 euros. Consulta precios actualizados o solicita un presupuesto personalizado.
¿Tiene mi empresa obligación de denunciar un fraude BEC?
No existe una obligación legal genérica de denunciar el fraude en sí, pero sí hay obligaciones derivadas. Si el atacante accedió a datos personales de clientes o empleados (lo cual es prácticamente seguro en un BEC, ya que tiene acceso al correo corporativo), la empresa debe notificarlo a la AEPD en 72 horas (Art. 33 RGPD). Además, si la empresa está sujeta a la Directiva NIS2 (operadores de servicios esenciales), la notificación de incidentes de ciberseguridad es obligatoria al CSIRT de referencia. En la práctica, denunciar siempre es recomendable: es requisito para la reclamación al seguro y para cualquier acción judicial de recuperación de fondos.
Sobre el autor
Jonathan Izquierdo es perito informático forense, ex-CTO, 5 veces certificado AWS y especialista en análisis forense de correo electrónico y fraude BEC. Aplica metodología ISO 27037 para la preservación de evidencia digital y elabora informes periciales admisibles en procedimientos judiciales en toda España. Más información.
Última actualización: 15 de febrero de 2026.
Este artículo analiza información pública sobre la Operación Garona publicada por Europol, el Ministerio del Interior y medios de comunicación acreditados. Las personas detenidas gozan de la presunción de inocencia hasta que recaiga sentencia firme. Los datos sobre modus operandi, análisis forense y marco legal se proporcionan con fines informativos y de prevención.
Fuentes principales: Europol, Ministerio del Interior, The Hacker News, NBC News, Gacetín Madrid, El Debate, INCIBE-CERT, Security Affairs, CyberScoop, Help Net Security.
