El método más sencillo es el póker de uno contra uno: basta con controlar a los dos jugadores hackeando perfiles de usuarios legales para que el dinero que se pierde por un lado salga por el otro en forma de premio blanqueado (ver gráfico). Pero también se puede hacer jugando a la ruleta (poniendo la misma suma al rojo y al negro) o en las apuestas deportivas (apostando por dos contrincantes de un mismo enfrentamiento, incluso desde portales distintos para no levantar sospechas), como señala el informe que los expertos en delitos informáticos Félix Breza y Yaiza Rubio remitieron a la Guardia Civil hace un año.

Los inspectores de Hacienda se quejan de la falta de medios y de la dificultad de controlar este y otros nuevos tipos de lavado de dinero asociados a Internet. José María Peláez, antiguo presidente de Organización Profesional de Inspectores de Hacienda del Estado (IHE) y experto en blanqueo lo explica así: “A los pocos medios que tenemos, hay que añadirle las dificultades de identificar a los jugadores debido a robos de carnés de identidad o tarjetas de crédito… Pasarán muchos años antes de encontrar técnicas efectivas para evitarlo, y más mientras existan paraísos fiscales. Con solo una llamada, un agente de ese banco viene a buscar el dinero, te da un recibo y en dos minutos lo tienes ahí. Si hay juego online, siempre habrá riesgo, es casi imposible evitarlo”.

En noviembre de 2013 había en el mundo 2.734 webs de juegos online propiedad de 867 empresas que operan en 104 jurisdicciones internacionales (la mayoría en paraísos fiscales). Cada país tiene una regulación distinta sobre las normas de identificación de los jugadores y las formas de pago de los usuarios (aquí son todas las que acepta el Banco de España, incluyendo Ukash). España se propuso regularizar el mercado en 2011 con una ley (13/2011) bajo la que se han concedido 62 licencias de juego online y se endurecdido el control. “Las medidas prevención que aplicamos en España son ahora muy garantistas con el sistema de identificación de los usuarios”, señala el portavoz de la Asociación de Española de Juego Digital, Miguel Ferrer. Es difícil que se pueda cometer blanqueo a gran escala”.

Pero el principal problema son los casinos y plataformas de juego digital ilegales (alrededor de 25.000, la mayoría en la deep web, según McAfee) o aquellos que simplemente operan fuera de nuestras fronteras bajo dominios.com. En ese tipo de webs, como anonibet.com, donde un español puede jugar con solo utilizar un proxy (programa que cambie la IP de su ordenador y su geolocalización), el anonimato puede llegar a ser casi total. En parte por ello, el 40% de los jugadores españoles lo hace en esas empresas de juego, señalan desde la Asociación de Española de Juego Digital.

Algunos países, como España, limitan a cantidades relativamente pequeñas el dinero que puede apostar cada jugador (600 euros al día, 1.500 a la semana y 3.000 al mes). Por eso, estas mafias organizadas acostumbran a utilizar de forma automatizada los ordenadores (botnets) comprometidos, de modo que decenas de cuentas hackeadas jueguen contra otras por donde saldrá el dinero lavado. Hay grupos organizados que pueden tener más de 100.000 ordenadores intervenidos, zombis los llaman. Esa fragmentación de capitales que se consigue se conoce como smurfing (de pitufo en inglés). “Mucha gente se ha quejado de que les habían bloqueado la cuenta y era porque alguien había estado jugando con su usuario sin que lo supiera. El casino tiene la obligación de cumplir con la prevención de blanqueo de capitales y hace monitorizaciones que, en función de una serie de umbrales y comportamientos anómalos, les alerta. Pero aplicando el smurfing no lo detectan”, señala Álvaro del Hoyo, experto en seguridad informática de la empresa s21sec.

Sobre todo en las webs que se rigen por normas distintas de las de España. Porque el problema es que en muchas de ellas el dinero se puede introducir y sacar mediante distintas y difícilmente rastreables formas de pago, algo fundamental para el blanqueo. Algunas incluso aceptan tarjetas prepago o de débito anónimas que funcionan en cajeros automáticos luego para retirar el dinero.

Pero el método más utilizado internacionalmente para esta práctica fraudulenta —en España ninguna empresa con licencia lo permite, pero supone el 8% de las apuestas internacionales— es el bitcoin. Una criptomoneda que por su alto grado de anonimato y de indefinición legal en la mayoría de países se presta perfectamente al blanqueo de capitales, como explican en Abanlex, un despcho de abogados especializado en la materia.

Lejos del glamur y los tapetes de terciopelo de los casinos reales, el perfil del cerebro de una organización de blanqueo online que opere en Europa y EE UU suele ser el de un joven nacido en algún país del este (especialmente Rusia o Ucrania, debido al alto nivel de sus universidades de informática). Este se une luego a alguien con una red de ordenadores comprometida y a un tercero que fabrica el troyano. Como en el caso de la operación Ransom, se crea luego una célula financiera que gestiona el blanqueo, que en este caso concreto estaba en la Costa del Sol. Todo ello puede contratarse en foros underground y de la deep web, como explica el experto en seguridad Javier Barrios . Y por supuesto, a ninguno de ellos le interesa lo más mínimo el juego.

Las formas de pago y de identificación varían en función de las medidas de control de cada web. Y los tipos de apuesta se van transformando y evolucionando. Pero más allá de los sistemas utilizados, todas las operaciones comparten un mismo patrón de juego en el que ganar no siempre es el mejor premio.

?

El método más sencillo es el póker de uno contra uno: basta con controlar a los dos jugadores hackeando perfiles de usuarios legales para que el dinero que se pierde por un lado salga por el otro en forma de premio blanqueado (ver gráfico). Pero también se puede hacer jugando a la ruleta (poniendo la misma suma al rojo y al negro) o en las apuestas deportivas (apostando por dos contrincantes de un mismo enfrentamiento, incluso desde portales distintos para no levantar sospechas), como señala el informe que los expertos en delitos informáticos Félix Breza y Yaiza Rubio remitieron a la Guardia Civil hace un año.

Los inspectores de Hacienda se quejan de la falta de medios y de la dificultad de controlar este y otros nuevos tipos de lavado de dinero asociados a Internet. José María Peláez, antiguo presidente de Organización Profesional de Inspectores de Hacienda del Estado (IHE) y experto en blanqueo lo explica así: “A los pocos medios que tenemos, hay que añadirle las dificultades de identificar a los jugadores debido a robos de carnés de identidad o tarjetas de crédito… Pasarán muchos años antes de encontrar técnicas efectivas para evitarlo, y más mientras existan paraísos fiscales. Con solo una llamada, un agente de ese banco viene a buscar el dinero, te da un recibo y en dos minutos lo tienes ahí. Si hay juego online, siempre habrá riesgo, es casi imposible evitarlo”.

En noviembre de 2013 había en el mundo 2.734 webs de juegos online propiedad de 867 empresas que operan en 104 jurisdicciones internacionales (la mayoría en paraísos fiscales). Cada país tiene una regulación distinta sobre las normas de identificación de los jugadores y las formas de pago de los usuarios (aquí son todas las que acepta el Banco de España, incluyendo Ukash). España se propuso regularizar el mercado en 2011 con una ley (13/2011) bajo la que se han concedido 62 licencias de juego online y se endurecdido el control. “Las medidas prevención que aplicamos en España son ahora muy garantistas con el sistema de identificación de los usuarios”, señala el portavoz de la Asociación de Española de Juego Digital, Miguel Ferrer. Es difícil que se pueda cometer blanqueo a gran escala”.

Pero el principal problema son los casinos y plataformas de juego digital ilegales (alrededor de 25.000, la mayoría en la deep web, según McAfee) o aquellos que simplemente operan fuera de nuestras fronteras bajo dominios.com. En ese tipo de webs, como anonibet.com, donde un español puede jugar con solo utilizar un proxy (programa que cambie la IP de su ordenador y su geolocalización), el anonimato puede llegar a ser casi total. En parte por ello, el 40% de los jugadores españoles lo hace en esas empresas de juego, señalan desde la Asociación de Española de Juego Digital.

Algunos países, como España, limitan a cantidades relativamente pequeñas el dinero que puede apostar cada jugador (600 euros al día, 1.500 a la semana y 3.000 al mes). Por eso, estas mafias organizadas acostumbran a utilizar de forma automatizada los ordenadores (botnets) comprometidos, de modo que decenas de cuentas hackeadas jueguen contra otras por donde saldrá el dinero lavado. Hay grupos organizados que pueden tener más de 100.000 ordenadores intervenidos, zombis los llaman. Esa fragmentación de capitales que se consigue se conoce como smurfing (de pitufo en inglés). “Mucha gente se ha quejado de que les habían bloqueado la cuenta y era porque alguien había estado jugando con su usuario sin que lo supiera. El casino tiene la obligación de cumplir con la prevención de blanqueo de capitales y hace monitorizaciones que, en función de una serie de umbrales y comportamientos anómalos, les alerta. Pero aplicando el smurfing no lo detectan”, señala Álvaro del Hoyo, experto en seguridad informática de la empresa s21sec.

Sobre todo en las webs que se rigen por normas distintas de las de España. Porque el problema es que en muchas de ellas el dinero se puede introducir y sacar mediante distintas y difícilmente rastreables formas de pago, algo fundamental para el blanqueo. Algunas incluso aceptan tarjetas prepago o de débito anónimas que funcionan en cajeros automáticos luego para retirar el dinero.

Pero el método más utilizado internacionalmente para esta práctica fraudulenta —en España ninguna empresa con licencia lo permite, pero supone el 8% de las apuestas internacionales— es el bitcoin. Una criptomoneda que por su alto grado de anonimato y de indefinición legal en la mayoría de países se presta perfectamente al blanqueo de capitales, como explican en Abanlex, un despcho de abogados especializado en la materia.

Lejos del glamur y los tapetes de terciopelo de los casinos reales, el perfil del cerebro de una organización de blanqueo online que opere en Europa y EE UU suele ser el de un joven nacido en algún país del este (especialmente Rusia o Ucrania, debido al alto nivel de sus universidades de informática). Este se une luego a alguien con una red de ordenadores comprometida y a un tercero que fabrica el troyano. Como en el caso de la operación Ransom, se crea luego una célula financiera que gestiona el blanqueo, que en este caso concreto estaba en la Costa del Sol. Todo ello puede contratarse en foros underground y de la deep web, como explica el experto en seguridad Javier Barrios . Y por supuesto, a ninguno de ellos le interesa lo más mínimo el juego.

Las formas de pago y de identificación varían en función de las medidas de control de cada web. Y los tipos de apuesta se van transformando y evolucionando. Pero más allá de los sistemas utilizados, todas las operaciones comparten un mismo patrón de juego en el que ganar no siempre es el mejor premio.

?