Una red que piratea correos de 'g-mail' utiliza Western Union para estafas en todo el mundo. El periodista John Carlin investiga el caso desde su propia experiencia.
El lío
empezó con un correo electrónico de Joseph Lelyveld, un señor de 74 años que
fue director del New York Times entre 1994 y 2001.
Nos
conocimos en los noventa en Sudáfrica, seguimos vagamente en contacto a lo
largo de los años y hace cuatro meses tomé una copa de vino con él en su piso
de Nueva York. Me contó que pronto vendría de viaje a España. Su correo
electrónico entró en la tarde del pasado día 8.
“Espero
que esto te llegue a tiempo. De viaje en Madrid me robaron el bolso, con
pasaporte, tarjetas de crédito, efectivo... Físicamente estoy OK, bien, pero
necesito dinero urgentemente para salir de la complicación en la que me
encuentro. Te lo devolveré en cuanto vuelva a casa…”.
Me
propuso que le ayudara a través de la conocida empresa de transferencias de
dinero Western Union. Le contesté de inmediato. “Claro, Joe. Dame más
instrucciones y te ayudaré en lo que pueda”. Me respondió que necesitaba mil
euros. Le llamé a su teléfono móvil. Varias veces. Nada. Saltaba siempre el
contestador, señal, pensé, de que le habrían robado el móvil también.
Antes de
hacer el giro desde Barcelona, donde vivo, llamé a Western Union. Un operador
me aseguró que el dinero solo se podría recibir en España y que el receptor
debería mostrar un carnet de identidad con foto. Fui a un locutorio de mi
vecindad donde ofrecían los servicios de Western Union, me atendió un señor
paquistaní y mandé los mil euros. Le envié a Lelyveld el número de envío por
correo y poco después me contestó: “Un millón de gracias”.
Al rato,
otro correo. Decía que volaba esa misma noche a Nueva York a las 22.30 y
necesitaba dinero para el pasaje. Pensé: “No hay vuelos a Nueva York a esa
hora”. Decidí repasar los correos que habíamos intercambiado. El original,
pidiéndome ayuda, había sido desde una dirección de g-mail que reconocía de
anteriores correspondencias. Pero mi respuesta, y todos los intercambios que
tuvimos después, habían sido al mismo nombre de usuario, pero no a “gmail.com”,
sino a “ymail.com”. Había caído en una trampa.
Hablé
por teléfono con el inspector jefe de la Brigada de Investigación Tecnológica
(BIT) de la Policía Nacional en Madrid, Enrique Rodríguez. Me atendió con
paciencia y cortesía, pero no escatimó palabras. Me habían estafado. Y no había
nada que hacer para recuperar el dinero.
Sí, le
dije. Pero le propongo un plan. Sigo en contacto con mi fantasmal interlocutor.
He hecho como si estuviera dispuesto a mandarle el dinero adicional que me pide
(otros mil euros). ¿Por qué no averiguamos dónde se recibió el dinero la
primera vez, le digo al estafador que hay más en camino y la policía monta una
emboscada y lo atrapa, a él o a su compinche?
Otra
ingenuidad mía. El inspector jefe Rodríguez me dijo que no sabíamos en cuál de
las tantísimas oficinas de Western Union se había cobrado el dinero; y ni
siquiera sabíamos si había sido en España. Pero, le contesté, Western Union me
aseguró que solo se podía cobrar dentro de España. El inspector, que opinaba
que igual se podría haber cobrado en Tombuctú, me sugirió que hiciera la
denuncia con sus homólogos en Barcelona; ellos serían los encargados de montar
una posible investigación, ya que el delito ocurrió en su territorio. Fui a la
sede de la policía en Barcelona y ahí me atendió un joven oficial de la misma
Brigada de Investigación Tecnológica. Muy atento, un vez más, pero también me
dijo que no había nada que hacer.
Decidí
intentar averiguar algo por mi cuenta, por ejemplo, dónde se habían cobrado mis
mil euros. Llamé a Western Union y me dijo un operador que tenía que volver al
locutorio desde donde los había enviado. El señor paquistaní me explicó que
había un procedimiento. Hicimos fotocopias de mi documento de envío, llenamos
un formulario y él lo mandó todo por fax a Western Union. Me avisaría en cuanto
tuviera respuesta.
Fui a
hacer la denuncia a los Mossos d’Esquadra, la policía autonómica catalana.
“¿Western Union?”, me dijo una mujer policía muy simpática. “Sí, siempre los
utilizan para estas estafas”. Otros dos policías con los que hablé en la
comisaría me dijeron lo mismo.
El
Lelyveld real emergió tres días después de que se hubiera puesto en contacto
conmigo el Lelyveld ficticio. Estaba en India. Todo bien. Volvía a Nueva York
en un par de días. Hablamos por teléfono. Se sintió fatal. Yo también me lo
volví a sentir cuando me informó de que la carta “madrileña” la habían recibido
cientos de sus contactos, pero que solo yo había caído en la trampa. No era
ninguna trampa nueva, me dijo, sugiriendo que como prueba de ello leyera un
artículo reciente de un escritor llamado James Fallows en la revista
estadounidense Atlantic.
Se
publicó en noviembre. Fallows contaba la historia de su esposa, cuya cuenta
g-mail fue hackeada el 13 de abril del año pasado. Sus contactos recibieron
todos el mismo correo. Robo en Madrid, Western Union, etcétera… Tiene amigos
importantes el señor Fallows, entre ellos el consejero delegado de Google, la
empresa dueña de g-mail, Eric Schmidt. Schmidt le contó que él mismo había
recibido una de las notas “Mugged in Madrid” (asaltado en Madrid).
Llamé al
señor paquistaní el día siguiente. ¿Alguna novedad? “Nada”. Me fui a Londres de
trabajo. Le comenté lo ocurrido a un amigo. “No me digas”, me contestó.
“¿G-mail? ¿Western Union? ¿Madrid?” “¡Sí!”, le contesté. “Uuuy, tengo un amigo
al que le acaba de pasar lo mismo”. Llamé al amigo, un experiodista inglés de
la BBC llamado William Reeve. No le habían robado como a mí, pero le habían
hackeado el g-mail y habían enviado prácticamente la misma carta que había
recibido yo a todos sus contactos. (Robo en Madrid, Western Union, etcétera…).
Un amigo cayó y le envió incluso más de lo que le envíe yo al falso Lelyveld.
“Western
Union tiene mucha responsabilidad en todo esto”, me dijo Reeve. “Los
hackeadores continúan utilizándolos para cometer robos, porque Western Union no
hace nada”. Reeve me contó que se había informado sobre el tema y había
descubierto que había habido una plaga de correos de estas características a
finales del año pasado. Reeve me refirió a un artículo publicado en The
Observer de Londres en octubre. En él, la autora contó que su correo g-mail
había sido hackeado y que 5.000 personas en su lista de contactos habían
recibido la famosa carta del robo en Madrid. De nuevo, Western Union había sido
el medio de envío recomendado.
Volví de
Londres a Barcelona resuelto a hacerle algunas preguntas a Western Union y a la
Policía Nacional. Primero hablé con mi señor paquistaní. Había mandado el fax a
Western Union, pero aún —ocho días después— no habían respondido. Llamé a
Western Union. Me tuvieron atado al teléfono durante 44 minutos. Una pérdida de
tiempo total. Primero una operadora me dijo que me podría dar el nombre de la
ciudad donde se recibió, pero no la sucursal. Y después me dijo que no me podía
dar ninguna de las dos cosas. La única posibilidad consistía en rellenar un
formulario, hacer fotocopias de mi documento de envío y mandarlo todo por fax a
Western Union. ¡Pero eso ya lo había hecho!, contesté. La operadora me pasó a
un supervisor que me repitió la misma historia. ¿Habría alguien más senior en
la empresa con quien podría hablar? No.
Escribí
un correo electrónico explicando el problema a una dirección que proporciona
Western Union en Estados Unidos (sede: Englewood, Colorado) para sus clientes,
pero —pese a que les pagué más de 50 euros en “comisión”, encima de los 1.000
euros— no me han contestado.
Volví a
hablar con el inspector jefe Enrique Rodríguez. No tanto de lo mío, sino del
drama en el que yo había jugado un triste papel. Dada la epidemia internacional
de intentos de estafa por Internet utilizando el gancho siempre de un supuesto
robo en Madrid, ¿había abierto la Brigada de Investigación Tecnológica del
Cuerpo Nacional de Policía una investigación? “No”, me contestó el inspector
jefe Rodríguez. “No hay ningún motivo para hacerla”. ¿Y no es una intrigante y
sospechosa casualidad que siempre sea Madrid el lugar elegido? “Eso no es
determinante. Hay una idea de que en Madrid a todo el mundo que viene le roban.
Es un mito, una historia que se han inventado. Pero les va bien diciendo que es
en Madrid porque es una ciudad visitada, muy cosmopolita, y tiene esa fama, y
por eso entra más fácilmente la estafa”.
Entonces,
¿no podría haber ninguna conexión real entre Madrid y los estafadores? “No. En
Madrid no aparecen. Es una coincidencia”. Pero, insistí, quizá no sea una
coincidencia; quizá haya algún motivo práctico por el cual utilizan Madrid, o
al menos España. Y le repetí la idea que había tenido la vez anterior que había
hablado con él de tenderles una trampa a los estafadores en un local de Western
Union. El problema ahí, me contestó el inspector, es que no había tiempo para
hacer lo que proponía; Western Union es una empresa de giro de dinero
prácticamente instantánea. “Se hace el envío y 10 minutos después se recibe,
sea en España, sea en Londres, sea donde sea. Eso juega al favor del
delincuente”.
Me daba
la impresión, le dije, de que Western Union ofrece a los estafadores —o a los
terroristas, o a cualquier criminal— un magnífico instrumento para mover dinero
por el mundo sin ser detectados. El inspector jefe Rodríguez me contestó que
Western Union era una empresa totalmente legal que no se prestaba a estas
cosas. Pero reconoció que existía un problema. Para conseguir la información
que yo había buscado acerca del porvenir de mi dinero, la policía tenía que
acudir a un juzgado (este dato, el mismo que me había comunicado su joven
compañero en Barcelona, no me lo proporcionaron los operadores de Western
Union, curiosamente). “Hay una ley de protección de datos que prohíbe dar información
a cualquier persona sobre cualquier dato personal”.
Sí, le
respondí, pero aquí no estamos hablando de ningún dato personal. Yo solo quería
saber la ciudad y la oficina donde se retiró mi dinero, y ahora resultaba que
ni la policía se podía enterar sin pasar por la burocracia judicial. “Pues sí”,
dijo el inspector, “es una circunstancia que no se entiende, ya que no se trata
de un dato revelador de información personal”.
O sea,
la ley que rige en estos casos se podría volver a examinar. No por mí y mi
dinero, que sé que nunca se recuperará, sino por, al menos, hacer el intento de
acabar con una red internacional de estafadores que ha estado operando con
impunidad durante por lo menos un año. Me sigue persiguiendo la duda también de
por qué la policía española o, por ejemplo, Interpol no han hecho ningún
intento de investigar si hay algo más que pura coincidencia en la mundialmente
conocida “conexión Madrid”.