La guàrdia civil, en el marc de l'operació Osgiliath, ha detingut 30 persones a Andalusia, Catalunya, Madrid, Múrcia i Toledo, a les quals se'ls atribueix l'estafa de més d'un milió d'euros a víctimes de diferents països. Dos dels caps del grup han estat detinguts a Getafe i Barcelona. S'ha identificat a més 40 presumptes autors més i han estat localitzats més de 100 perjudicats a Espanya, Alemanya, Andorra, Bèlgica, Bulgària, Equador, Eslovènia, Finlàndia, Holanda, Hongria, Irlanda, Itàlia, Lituània, Polònia, Portugal, Regne Unit, República Txeca i Romania.

La investigació es va iniciar el maig de l'any passat després de rebre la denúncia d'una empresa de construcció a la qual havien estafat més de 10.000 euros emprant el mètode conegut com a “Man in the middle”.

En aquest tipus de ciberatac, conegut també com a Frau del CEO o del BEC (Business E-mail Compromise), els autors es colen en les converses entre dos o més dispositius, normalment un proveïdor i els seus clients. L'estafador accedeix a les converses entre tots dos i intercepta les referides a pagaments, en què suplanten la identitat, i fent-se passar pel proveïdor, modifica la informació aconseguint que la víctima faci les transferències a un número de compte del delinqüent. D'altra banda, fent-se passar pel client, negocia amb el proveïdor pròrrogues per fer els pagaments, aconseguint així guanyar temps. Un cop s'aconsegueix que la víctima faci la transferència, l'estafador deixa d'intervenir en les converses i és llavors quan es destapa que es tracta d'una estafa.

Els agents van comprovar que els mateixos autors feien servir altres metodologies de ciberestafa: fent-se passar per empreses reals, anunciaven vehicles de motor, maquinària agrícola i vivendes de lloguer de vacances. Una altra manera de fer-se amb dades de persones a qui usurpen la identitat és mitjançant falses ofertes de feina que difonen de forma massiva. 

En total, han estat detingudes 30 persones, 19 homes i 11 dones, amb edats compreses entre els 19 i els 56 anys, als quals se'ls imputen els delictes d'estafa tecnològica, usurpació d'identitat, falsificació de documents, descobriment i revelació de secrets, blanqueig de capitals i pertinença a organització criminal.

S'han intervingut 153 comptes bancaris aconseguint recuperar 114.366 euros, procedents de les estafes comeses pel grup.