En el marco de la operación 'Sarea steel', la investigación comenzó a finales de 2021 cuando el gerente de dos empresas radicadas en Bizkaia, denunció 30 cargos irregulares en las cuentas bancarias de ambas sociedades, según ha informado la Delegación del Gobierno en Euskadi.
Los agentes descubrieron que los estafadores obtenían mediante engaño (phishing) los datos bancarios de la víctima y para eludir la verificación que las entidades bancarias realizan mediante SMS, procedían a contactar con la operadora de telefonía haciéndose pasar por el verdadero titular de la línea (vishing).
El objetivo era activar desvíos de llamadas para recibir por voz los códigos de verificación (2FA) necesarios para autorizar las transferencias no consentidas.
Debido a la complejidad del caso, los guardias civiles analizaron minuciosamente cada una de las transacciones y trazaron el camino recorrido por el dinero sustraído, identificando a 24 personas con diferentes grados de participación en los hechos que operaban en distintas zonas de España: Barcelona, Valencia, Guadalajara, Girona y la Región de Murcia.
Los autores utilizaron así tres vías para retirar las cantidades estafadas. Una fue utilizando cajeros automáticos situados en localidades de las provincias de Barcelona y Alicante, otro medio fue mediante la compra de tarjetas de precarga bancaria (Tarjetas Monedero) y la última realizando nuevas transferencias a otras cuentas, todo ello con la finalidad de ocultar el origen ilícito del dinero.