Piratas informáticos ‘hackearon’ los correos de la EMT para preparar la estafa de cuatro millones de euros

La jefa de Administración, ya despedida, dio validez a la operación financiera al recibir un correo de un superior sin saber que era falso – Los expertos ven muy difícil lograr recuperar el dinero

El fraude de más de cuatro millones de euros detectado en la empresa municipal de transporte urbano EMT de València tiene su origen en una estafa informática que comenzó con el pirateo de los correos corporativos de la entidad y del que fue víctima directa su jefa de Administración, despedida esta misma semana por su presunta responsabilidad al haber autorizado las operaciones bancarias sin las debidas comprobaciones.

Así, al menos lo ha entendido el Ayuntamiento de València, aunque la investigación que lleva a cabo la Policía Nacional determinará si ella es la única responsable, por falta de diligencia en el control –se habría convertido en cooperadora necesaria involuntaria para que los piratas lograsen su objetivo- o si, además, ha habido un fallo en los sistemas de ciberseguridad municipales que parecen bastante evidentes, al menos en la fase inicial de la investigación.

Según ha podido saber Levante-EMV de fuentes de toda solvencia, se trata de un caso puro y duro de phishing, esto es, una organización delictiva ha accedido a los correos corporativos de la EMT de València y, valiéndose de técnicas de ingeniería social e informática, ha suplantado la identidad de un directivo de la empresa para convencer a la jefa de administración de que validase las operaciones financieras.

El phishing es una estafa que lleva años provocando agujeros económicos en cuentas públicas y privadas gracias al envío de malware –programas maliciosos que se instalan en el ordenador cebo sin que su dueño se percate y que permite acceder y robar toda la información almacenada-, que suele llegar casi siempre por correo electrónico. Algo así como un ‘timo de la estampita’, al que se parece no en su ejecución, sino en lo exitoso que sigue resultando para los ciberdelincuentes pese a todas las advertencias policiales para que los usuarios protejan mínimamente sus dispositivos electrónicos y desconfíen de los envíos inhabituales.

Esa es una de las cuestiones fundamentales del caso, ya que no se trata de un usuario particular, que puede disponer o no de los necesarios sistemas de seguridad para evitar el asalto de los ‘hacker’ –programas antivirus, cortafuegos y detectores de spyware y malware-, sino de una empresa pública, que debería estar fuertemente asegurada para evitar este tipo de asaltos informáticos.

De hecho, la investigación que lleva el grupo de Delitos Tecnológicos de la Brigada de Policía Judicial de la Jefatura Superior de Policía de València permitirá dirimir no solo la responsabilidad de la exjefa de Administración, la única investigada por ahora en este caso dado que es quien figura como principal implicada en la denuncia presentada el miércoles por el gerente de la EMT ante la policía, sino también si ha habido un fallo de seguridad con posibles consecuencias penales y/o civiles para la corporación.

Declaración ante la Policía

Según las fuentes consultadas por este diario, la denuncia explica que la investigada fue la llave para que los piratas, cuya ubicación real tratarán de rastrear ahora los investigadores de la Policía Nacional siguiendo la ruta de los correos y del dinero, lograsen los más de cuatro millones –otras fuentes hablan de hasta cinco millones- en ocho transferencias ordenadas por la EMT a cuentas del Bank of China en Hong Kong.

Todo comenzó, al parecer, cuando la ahora despedida recibió un correo supuestamente emitido por el directivo de la EMT ordenándole que diera luz verde al envío del dinero. El ayuntamiento esgrime ahora que la operación no tenía ni pies ni cabeza y que la jefa de Administración debió comprobar por todos los medios posibles la veracidad de ese correo antes de enviar los documentos que autorizaban el pago, siguiendo las instrucciones de ese correo inicial pernicioso, ya que en realidad no era de su jefe, sino de un pirata informático operando desde cualquier lugar del planeta.

En todo caso, en lo que coinciden todas las fuentes es en la «imposibilidad casi cierta al cien por cien» de recuperar ese dinero, dado que China es uno de los países que menos colaboran en la solicitud de auxilio policial y judicial. Y menos aún, el banco nacional de ese país. «Habitualmente cuesta mucho tiempo y paciencia que las entidades bancarias colaboren facilitando datos de operaciones financieras de sus clientes, pero en el caso de algunos países, y China está entre estos, es casi ciencia ficción esa colaboración», explica una fuente policial experta en investigaciones de este tipo.

Ver información original al respecto en Fuente>