La estafa de los certificados COVID falsos para negacionistas por 150 euros: “¿Tiene una vacuna preferida?”

"Producimos y ofrecemos el certificado COVID 19. Lo hacemos registrándolo en la base de datos del sistema de salud que le otorga el mismo estatus que una persona vacunada. Nuestros certificados se producen y ofrecen por 150 euros cada uno. Sin embargo, si está tomando muchos, podemos ofrecerle un descuento del 10%". Este es el primer mensaje que se recibe al contactar con un supuesto doctor que ofrece certificados de vacunación falsos a través de grupos de Telegram, con el que ha podido hablar elDiario.es. Una promesa que, según ha podido comprobar este medio, se convierte en estafa tras realizar el pago: el supuesto falso pasaporte COVID que permite viajar entre países de la Unión Europea jamás llega.

El método, dicen, es sencillo para el comprador que necesite un certificado falso porque no se quiere vacunar. A través de grupos de Telegram que se van cerrando y dando paso a otros nuevos para no dejar rastro, se ofrece "recuperar la libertad". En el mes de septiembre, esta redacción localizó uno de estos grupos, con cerca de 10.000 suscriptores, que remitía al perfil de Telegram y al correo electrónico de un supuesto doctor para realizar las gestiones de compra. "Te enviaremos la versión electrónica el mismo día (del pago) y te llegará la versión en papel dependiendo del horario de la agencia de entrega y tu ubicación. Pero la versión electrónica ya es suficiente", prometía.

Para dar más fiabilidad, los falsificadores muestran a los compradores un código QR con un "nombre ficticio". Días después, el canal a través del que contactamos con este individuo ha desaparecido, pero siguiendo criterios de búsqueda similares aparece otro de igual contenido, llamado 'Certificados COVID-19 digitales de la UE', donde se comparten mensajes negacionistas y teorías de la conspiración, como que los famosos y políticos occidentales reciben vacunas falsas, acompañado de un vídeo de Mariah Carey vacunándose. Tiene más de 1.800 suscriptores. Remiten a otra "doctora", que calca la misma presentación que el anterior. Eso sí, ya sin descuento del 10% si compras muchos certificados falsos. Días después, el nombre de esta segunda cuenta también cambia, pero sigue ofreciendo lo mismo: certificados de vacunación para personas no vacunadas. Unos días después, esta redacción localiza otro canal similar, con el mismo nombre y el mismo modus operandi, con casi 3.000 suscriptores, que parecen operar juntos.

Pero, ¿qué puede verse en el QR de muestra? Lo analizamos en varios pasos con Víctor Molina, Channel & Telco SE Team Leader de la compañía de ciberseguridad Check Point. Al abrirlo con un lector de códigos, "muestra el mismo stream de caracteres que un código auténtico", explica. Algunos países europeos cuentan con aplicaciones que permiten verificar la autenticidad de estos códigos. Al introducir los códigos de prueba que los supuestos doctores muestran a sus posibles compradores, la app de verificación lo identifica como un pase válido.

Acceso a códigos válidos

"Me ha sorprendido que fuera auténtico", reconoce Molina, "pero apostaría a que es el de otra persona". Es decir, los 'vendedores' habrían 'robado' el código de los certificados auténticos de otras personas. "Es más complicado falsificarlo que conseguir el de otra persona incauta", explica el experto. En la misma línea se pronuncian desde el Instituto Nacional de Ciberseguridad (INCIBE): "Probablemente, los perfiles detrás de estos canales han conseguido tener acceso a códigos QR válidos y son los que utilizan a modo de muestra para engañar a las posibles víctimas", señalan.

La cuestión es si los compradores que accedan a pagar los 150 euros por un certificado falso lo recibirán y si, además, este funcionará a la hora de pasar los controles en los aeropuertos o para acceder a los lugares donde es obligatorio. "Lo más probable es que estos perfiles tengan como objetivo estafar a aquellas personas que intenten obtener un código QR válido y que en el caso de realizar un pago, nunca se llegue a recibir un código a nombre del solicitante", explican desde el INCIBE que, tras recibir el aviso de elDiario.es y analizarlo a través de su Centro de Respuestas ante Incidentes, ha puesto una alerta de fraude en su página web. En ella, aconsejan a las personas que hayan contactado con el perfil y facilitado datos personales –solicitan nombre y apellidos, "fecha de cumpleaños", número de la seguridad social e email– realicen de forma periódica una búsqueda de su nombre en los buscadores para detectar posibles usos indebidos de esa información.

Esta redacción ha podido saber que, efectivamente, tras realizar el pago de los 150 euros, a través de criptomonedas, los supuestos vendedores mantienen la coartada durante un par de días. Este es el tiempo que, dice uno de ellos, tardan en generar el certificado falso. Tras contactar de nuevo al cabo de ese tiempo para interesarse por la compra, estos estafadores borran la conversación de Telegram y desaparecen, sin volver a responder a las víctimas.

Desde Check Point también consideran que la promesa de introducir los datos de los pacientes no vacunados como vacunados en la base de datos del Sistema Nacional de Salud es "una proclama falsa casi con toda seguridad". "Una cosa es poder falsificar el certificado COVID, que es complicado porque viene firmado digitalmente por un organismo difícil de falsificar, y otra cosa que es más complicada aún es que tú consigas entrar en la base de datos de cualquier país y hackear el acceso para introducir los datos de una persona. Eso lo veo extremadamente complicado y, sinceramente, no me parece una cosa que cueste 150 euros", explica Molina. Al preguntar a otro de los supuestos doctores cómo conseguiría registrar a la persona en la base de datos, evita explicarlo: "Déjanos eso a nosotros. Para eso pagas 150 euros. Cómo hacerlo es parte de nuestro secreto profesional".

"Por razones de seguridad preferimos los pagos en bitcoin"

Para realizar el pago, los delincuentes exigen criptomonedas. "Por razones de seguridad preferimos que todos los pagos se realicen en bitcoin y también protegen su identidad", explican justo antes de preguntar si el comprador "tiene una vacuna preferida que le gustaría". "A pesar de que el blockchain sí deja traza, no hay una vinculación directa entre una identidad y una dirección de bitcoin", explica la abogada experta en derecho digital Miriam García. Así, pueden utilizar su ingeniería "para dispersar el dinero".

Los propios estafadores indican paso a paso cómo debes hacer la conversión de euros a bitcoin a través de una página de cambio de criptomoneda y facilitan todas las indicaciones a seguir para que reciban el dinero. Tras eso, exigen un pantallazo de la transacción –estos movimientos no ofrecen al receptor datos del emisor, ni viceversa– para comenzar a generar el certificado. Un certificado que, finalmente, nunca llega.

"Tú recibes una dirección numérica y no sabes quién es la persona que está detrás. Después, pueden ir enviándolo de una dirección a otras y, pasados una cantidad de envíos, intentar sacarlo o hacer micro pagos para que eso se diluya", indica la experta, que considera que "lo utilizan porque es la herramienta 'menos mala' para recibir pagos e intentar ocultar tu identidad, aunque eso no significa que no sea rastreable. No te van a pedir que les hagas un bizum".

De hecho, en agosto, la policía italiana ya identificó una red de venta de certificados COVID falsos, a través de 32 canales de Telegram, por entre 150 y 500 euros. Entonces, agentes de la policía de Roma, Milán y Bari, en coordinación con los juzgados de Roma y Milán y de menores de Bari, identificaron a cuatro personas, dos de ellas menores, como autores de estos posibles delitos de fraude y falsificación, según informó el Corriere della Sera. En la que se conoció como operación 'Fake Pass', consiguieron identificar a los canales y sus administradores a través de análisis técnicos y financieros de blockchain.

En cualquier caso, la abogada estima que en este caso "se dan todos los requisitos de una estafa: existe ánimo de lucro –te piden 150 euros–, utilizan el engaño –te dicen que te van a dar un certificado que está en la base de datos de Sanidad– y con ese engaño consiguen que una persona realice una transferencia económica". "Sale mucho más rentable engañar a la gente que hacer todo eso y exponerte a un delito de falsedad documental", que puede acarrear penas de prisión de seis meses a tres años y multa de seis a 12 meses para los compradores, señala García.

Más de 10.000 vendedores

Desde Check Point Research, la división de inteligencia de amenazas de la compañía, advierten además de un incremento en los vendedores que afirman ofrecer certificados falsos a través de Telegram. Si a principios de agosto habían detectado cerca de 1.000, en poco más de un mes se han multiplicado por diez, hasta los 10.000 en todo el mundo. No es algo nuevo. Ya en diciembre de 2020 habían alertado de cientos de anuncios en la Darknet, la parte de internet que no está indexada en los buscadores, que se fueron multiplicando en los siguientes meses, con puntos de venta principalmente en Estados Unidos, España, Alemania, Francia y Rusia.

En los últimos meses, estos delincuentes habían dado el salto del internet profundo a Telegram. El motivo: "Hay más gente y es más fácil de acceder. De esta forma tienes una llegada muchísimo más amplia, más capacidad de difusión y Telegram te ofrece capacidades de privacidad extra, como eliminar conversaciones, no tener que dar los mismos datos que otras para logarte...", explica Molina.

En España, actualmente, algo más del 77% de la población cuenta con la pauta completa de alguna de las vacunas contra el coronavirus aprobadas por la Unión Europea y casi el 80% ha sido inyectado con al menos una dosis. El certificado permite viajar entre países de la UE y otros como Islandia, Liechtenstein, Suiza y Noruega acreditando de forma sencilla que la persona ha sido vacunada contra el virus, que se ha recuperado de la enfermedad o que cuenta con una prueba negativa en las últimas 48 ó 72 horas, según la normativa de cada país. De esta forma, el proceso para entrar en cualquiera de estos territorios es más ágil y no es necesario realizar test adicionales o cuarentenas. Además las autoridades nacionales son las responsables de la expedición del certificado, que es gratuito.