El grupo GXC Team se había convertido en una especie de “Amazon del cibercrimen”: ofrecía kits de ransomware, programas para robar contraseñas y hasta inteligencia artificial para crear estafas personalizadas. Ahora, la Guardia Civil ha logrado desmantelarlo, culminando una de las operaciones más complejas de los últimos años en materia de ciberseguridad internacional.
El golpe que destapó al grupo GXC Team
Todo comenzó con la detención de un joven brasileño de 25 años conocido como “GoogleXcoder”, que vivía en San Vicente de la Barquera (Cantabria) junto a su familia. Su captura permitió identificar a otros seis miembros del grupo, repartidos entre España, Brasil, Reino Unido y Eslovaquia.
La Operación Firewall, como ha sido bautizada internamente, llevaba un año en marcha. Los agentes siguieron el rastro de sus transacciones en criptomonedas, analizaron foros de la dark web y lograron interceptar las comunicaciones internas del grupo, que usaba un canal de Telegram llamado “Robarle todo a las abuelas”.
El nombre, macabro y literal, refleja la filosofía de un grupo que ofrecía el crimen como un servicio más.
“Era un modelo de negocio criminal perfectamente estructurado, con soporte técnico, atención al cliente y opciones de personalización para cada tipo de estafa”, explican fuentes de la investigación.
Te puede interesar
Herramientas de IA para estudiantes: 25 apps que revolucionarán tu forma de estudiar en 2025
Ransomware, IA y phishing “a la carta”
El GXC Team había desarrollado un catálogo digital de herramientas de hacking. Su especialidad era el Crimen-como-servicio (CaaS), un modelo en el que cualquier persona podía pagar por acceder a software malicioso y usarlo sin conocimientos técnicos.
Entre sus productos había:
- Kits de ransomware capaces de cifrar ordenadores y exigir rescates en criptomonedas.
- Malware para Android, con nueve versiones diferentes, diseñado para interceptar SMS y credenciales bancarias.
- Plataformas de phishing con plantillas de bancos, tiendas y empresas de transporte.
- Y lo más inquietante: sistemas de inteligencia artificial para imitar voces humanas, empleados en estafas telefónicas de suplantación y extorsión.
“Solo había que elegir el objetivo y el idioma”, explican los investigadores. “El software hacía el resto: redactaba los mensajes, clonaba las webs y automatizaba los ataques”.
En otras palabras: un hacker amateur podía alquilar un “paquete de robo digital” por unos cientos de euros, y en cuestión de minutos lanzar una campaña profesional.
Así actuaban los hackers
El grupo operaba desde un foro ruso de cibercrimen donde promocionaban sus servicios con un estilo casi corporativo. Ofrecían soporte técnico 24/7, actualizaciones automáticas del malware y descuentos por volumen.
Cada cliente recibía un panel de control con menús desplegables para personalizar el ataque:
- Seleccionar país o empresa objetivo
- Tipo de fraude (bancario, e-commerce, logístico, etc.)
- Idioma y tipo de mensaje (phishing, suplantación o ransomware)
Incluso ofrecían una opción premium que usaba IA para adaptar las estafas a cada víctima, analizando su perfil en redes sociales y tono de escritura.
Entre las víctimas confirmadas hay más de 20 instituciones internacionales, incluyendo bancos españoles, empresas logísticas y plataformas de comercio electrónico en Estados Unidos y Brasil.
El error que llevó a su captura
La caída de GoogleXcoder llegó gracias a un detalle mínimo: un número de teléfono reutilizado.
El hacker, obsesionado con borrar sus huellas, solía usar líneas de sus propias víctimas, pero cometió un descuido al registrar un nuevo servidor con una de esas líneas intervenidas.
Los agentes de la Guardia Civil rastrearon la conexión hasta una vivienda en Cantabria. Allí encontraron varios portátiles cifrados, discos duros con miles de claves y wallets con criptomonedas robadas.
El análisis forense permitió descubrir más de 10 GB de datos procedentes de ataques anteriores, algunos relacionados con brechas en webs españolas, entre ellas partidos políticos y empresas públicas.
La colaboración con la Policía Federal de Brasil y la firma de ciberseguridad Group IB fue esencial para coordinar las detenciones simultáneas en varios países.
El nuevo mercado negro del “Crimen como servicio”
El caso del GXC Team revela un cambio de era en la ciberdelincuencia.
Ya no hacen falta hackers geniales que programen desde cero: basta con pagar por las herramientas adecuadas.
Estos servicios de ciberdelito bajo demanda se alquilan por horas o días, y ofrecen desde virus listos para usar hasta bots que generan correos de phishing automáticos.
El negocio mueve millones y se retroalimenta gracias al anonimato de las criptomonedas y la potencia de la inteligencia artificial.
En 2024, los expertos en ciberseguridad alertaron de un crecimiento del 40% en las plataformas de CaaS, lo que demuestra que el cibercrimen se está industrializando.
Y lo más preocupante: los precios bajan. Lo que antes costaba 3.000 euros, hoy se puede conseguir por 300.
Qué supone esta operación para la ciberseguridad en España
La desarticulación del GXC Team no solo frena una red concreta, sino que envía un mensaje claro a las nuevas mafias tecnológicas: la impunidad digital ya no existe.
España se ha convertido en uno de los países europeos más activos contra el crimen tecnológico internacional, con más de 400 operaciones en 2025.
Sin embargo, los expertos advierten que la amenaza evoluciona más rápido que las defensas.
Como señala el analista de ciberseguridad Carlos Moreno:
“Cada vez que cae un grupo como el GXC Team, otro aparece con más automatización y menos huellas. La IA ha cambiado las reglas del juego.”
Por eso, las autoridades recomiendan a empresas y usuarios reforzar sus medidas básicas: contraseñas robustas, autenticación en dos pasos y especial precaución con llamadas o correos sospechosos.
