A finales del mes pasado saltó a la prensa la rocambolesca historia sufrida por la EMT (Empresa Municipal de Transportes) de València. Su jefa de administración, transfirió más de cuatro millones de euros a una cuenta bancaria en Hong Kong en distintas transferencias creyendo que participaba en una operación secreta porque así se lo indicaba por correo electrónico su máximo responsable, Giuseppe Grezzi, concejal de movilidad sostenible del Ayuntamiento de Valencia.

Lo ocurrido tiene todos los mimbres para una película de Tarantino, una historia no lineal entre Valencia y Hong-Kong, una colección de delincuentes y una operativa llena de misterio que actualmente está siendo objeto de investigación por el Juzgado de Instrucción nº 18 de Valencia. Tan solo faltaría la música…

¿Pero qué ha ocurrido?

Todo parece indicar que estamos ante una ciberestafa denominada como “La estafa del CEO”. Una modalidad de phishing que en realidad llaman whaling en honor a los buques balleneros ingleses por la importancia del pez objeto de estafa. La mecánica es la suplantación de identidad y el uso de correos electrónicos y llamadas telefónicas con la intención de conseguir que el “directivo” con acceso directo a los recursos económicos de la empresa consiga hacer el desplazamiento de dinero.

Para el Instituto Nacional de Ciberseguridad este tipo de engaños: “(…) consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente.”

¿De quién es la responsabilidad?

Aquí podemos encontrar distintos frentes abiertos. Por un lado, la empleada jefa de administración, que al parecer se saltó distintos protocolos de actuación para realizar las transferencias, fue despedida. Las últimas noticias apuntan a que no parece estar vinculada con el fraude y que realmente fue víctima de esta estafa del CEO.

Respecto a la EMT, si bien es víctima del delito y la acción de la empleada no le causaría ningún beneficio directo ni indirecto, lo cual excluiría su responsabilidad penal, podría tener otro tipo de responsabilidades…para empezar, habrá tenido una brecha de seguridad y lo más seguro es que hayan comprometido las cuentas de correo del Ayuntamiento de Valencia y las hayan hackeado. Conforme a la normativa de protección de datos dispones de 72 horas para notificar una brecha de seguridad en el Agencia Española de Protección de Datos (AEPD) surgiendo distintos riesgos de cumplimiento normativo que entiendo se habrán abordado convenientemente.

Por otro lado, está por ver la responsabilidad de Caixabank, a quien el Ayuntamiento, de momento, ya le ha reclamado la devolución de los importes, en caso de que se demuestre que hubo negligencia o se saltaron los protocolos. Sin perjuicio de que todo se está investigando por el Juzgado de Instrucción nº 18 y por la Policía Judicial, el entramado de responsabilidades se va agrandando por momentos.

¿Cómo prevenir este tipo de fraudes?

Para el INCIBE, la forma más adecuada de prevenir sería: “concienciar a los empleados para reconocerlos y evitarlos, teniendo especial atención si utilizan dispositivos móviles para leer el correo. También se han de implantar procedimientos seguros para realizar pagos, de manera que esté implicada más de una persona, es decir que exijan doble verificación mediante una llamada telefónica al director para asegurarse de la veracidad del mensaje».

«La primera medida que deberíamos adoptar es ser conscientes y estar alerta de que los delincuentes sofisticarán y evolucionarán la estafa precisamente para sobrevivir»

En relación a la implantación de procedimientos, en mi opinión, esto estaría muy conectado con el desarrollo de los modelos de prevención de delitos (compliance penal) que, si bien persiguen la no comisión de delitos en el seno de la empresa, también sirven a la empresa para evitar ser víctimas dado que la incorporación de determinados protocolos y procedimientos permiten mantener los niveles de riesgo mucho más bajos.

Junto a la formación de los empleados y la elaboración de procedimientos que permitan un mayor control de las operativas, estaría la adopción de medias de seguridad apropiadas para evitar que espíen nuestros correos electrónicos y ser víctimas de una posible infección.

En definitiva, ya sabemos que estamos ante a la estafa de moda y la primera medida que deberíamos adoptar es ser conscientes y estar alerta de los delincuentes sofisticarán y evolucionarán la estafa precisamente para sobrevivir.

Leer artículo completo en el siguiente enlace.