Los puntos negros de la estafa de 4 millones a la EMT de Ribó y Grezzi
Parece que se trata de una ciberestafa conocida como 'estafa del CEO', pero ante la gravedad de los hechos debería de haber más información y ver si el gerente de la EMT es el responsable.
Todo resulta un tanto 'rocambolesco' en el fraude de 4 millones de euros que se ha producido en la Empresa Municipal de Transportes de Valencia (EMT) y que ha terminado con todo ese dinero en un banco de Hong Kong. Las consecuencias siguen generando, a día de hoy, comentarios y acusaciones diversas para desviar las posibles responsabilidades jurídicas y políticas.
Mientras la mayoría de los responsables del Gobierno municipal piden "prudencia" hasta que se conozcan más detalles de la investigación policial, el concejal de Movilidad y responsable de la EMT, Giuseppe Grezzi, ha desviado su responsabilidad en el caso y se ha escudado cesando a la responsable del área de Gestión de la empresa municipal, la directiva María Rayón, mientras ha manifestado públicamente que la culpa podría tenerla la entidad Caixabank por haber cursado las transferencias a un banco chino ordenadas desde la propia empresa.
Por su parte, el alcalde de Valencia, Joan Ribó, asegura que el protocolo de ciberseguridad del Ayuntamiento es "suficiente" y debería haber funcionado cuando llegó el primer correo electrónico fraudulento, pero en este caso "se ha saltado" sin que se conozca todavía el motivo. Ribó insiste en que lo que ha habido es un "falseamiento de unas firmas y un incumplimiento del protocolo establecido". Por eso, no quiere que se abra una investigación en el seno del Ayuntamiento. Se conforma con la comisión que se creará, si el consejo de administración de la EMT lo considera necesario, para recopilar información y datos sobre el fraude.
El alcalde considera que el robo de 4 millones de euros no es "un tema de corrupción política", por lo que no es necesario ni una investigación por parte del Ayuntamiento, ni tampoco un Pleno extraordinario como ha pedido la portavoz del Partido Popular, María José Catalá y los dirigentes de Ciudadanos y de Vox en el consistorio municipal.
Hasta aquí, todas las posturas políticas claras y definidas. Pero, son muchas las claves de la estafa de la EMT que faltan por aclarar, especialmente, si tenemos en cuenta que es la primera vez que una empresa pública es estafada bajo esta modalidad de ciberataque y por este importe de dinero tan elevado.
Imagen de un autobús de la EMT frente al Ayuntamiento de Valencia
1.- No hay información y ya han pasado cinco días desde que se conoció la estafa. Todo hace pensar, y siempre según las informaciones de las que disponemos, que se trata de una ciberestafa conocida como 'estafa del CEO' y que hubiera sido relativamente sencilla de prevenir, según expertos en ciberseguridad consultados. Sin embargo, debido a la gravedad de los propios hechos, a dia d hoy debería de existir más información al respecto.
La 'estafa del CEO' no deja ser un phishing evolucionado, es decir, una suplantación de identidad. El fraude del CEO tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos para que paguen una factura falsa o hagan una transferencia desde la cuenta de la compañía. Este ciberdelito es cometido por vía informática por expertos ciberdelincuentes.
Un estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía. Solicita que se haga un pago urgente o solicita al empleado que no siga los procedimientos de autorización habituales. Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona y usa expresiones como “Confidencialidad”, “La compañía confía en ti”, “Ahora mismo no estoy disponible”. A menudo se solicita un pago internacional a bancos fuera de Europa y conoce bien cómo funciona la organización, lo más habitual es que tenga monitorizado los correos electrónicos, ya que los ha hackeado y suele hacer referencia a una situación delicada (por ejemplo, una inspección fiscal, una fusión o una adquisición). Algo que en el caso de la EMT, todas las características de esta tipología delictiva se han dado.
2- La jefa de Administración de la EMT ha sido despedida y, posiblemente, no tenga la culpa porque ella ha sido la víctima del engaño. Partamos para ello, del correo electrónico de Giuseppe Grezzi dándole instrucciones precisas a la jefa de Administración de la EMT no solo para hacer las transferencias, sino también para que les facilitara a los compradores cierta documentación adicional, así como los registros de firmas, además de advertirle, que le llamarían por teléfono para cerrar flecos.
La jefa de Administración podemos pensar que ha hecho caso de lo que le decía su jefe, así lo puede haber pensado ella y aquí esta, el porqué de que esta estafa sea tan efectiva¡: hace lo que le dice un responsable superior a ella. En este caso, Grezzi con su correo electrónico hackeado. Por tanto, cabe pensar que la culpa podría tenerla el responsable de la sociedad, por no formar e informar a sus empleados y por carecer de medidas de prevención de delito.
El concejal Grezzi con el gerente de la EMT, Josep Enric Garcia Alemany
3.- Los servidores de correo electrónico podrían no ser seguros y la seguridad informática tampoco. Si el origen del fraude lo tenemos en una fallo de seguridad informática de primer nivel en los servidores de correo electrónico del Ayuntamiento de Valencia, cabe la posibilidad, porque así suelen actuar los ciberdelincuentes, que hayan estado meses accediendo al mail de Giuseppe Grezzi (junto al de otros miembros de la EMT) para estudiar sus patrones y ver cuál era su patrón conductual, tanto en su forma de escribir, como en sus mandatos. Pero, sobre todo, su relación profesional con la jefa de Administración, para que cuando llevaran a cabo la suplantación, la víctima (la jefe de la administración de la EMT) no sospechara nada, como así parece ser que fue. También cabe la posibilidad de que fueran los servidores de la EMT los atacados primero y que también fuera el correo de la jefa de Administración clonado o inclusive las dos hipótesis juntas. En cualquier caso, queda claro un fallo muy grave de seguridad informática.
4.- Se debería hacer una auditoria informática de seguridad. Realizada por terceros independientes, ya que la intrusión y hackeo ha sido de primer nivel y muy grave. Incluso, podría caber la posibilidad de que todo aquel que tuviera cuenta de correo en al Ayuntamiento de Valencia, haya podido ser clonada y, por consiguiente, las de la EMT y hayan podido acceder a otro tipo de información, como la de carácter personal o confidencial de ambas entidades (EMT y Ayuntamiento de Valencia).
Las culpas para otros
Por todo, el concejal Grezzi insiste en culpar al CaixaBank, la entidad financiera con la que trabajan, de la pérdida del dinero. "No debería haber dado curso" a las transferencias que dieron lugar al fraude de los cuatro millones de euros con destino a la cuenta de un banco en China. Grezzi dijo que la EMT y la entidad financiera tienen establecido un protocolo de actuación que exige la firma mancomunada electrónica de dos directivos, y CaixaBank "debería investigar qué ha pasado" pues se cursaron unos documentos de pago en formato 'pdf' con las firmas falsificadas del director gerente, Josep Enric García Alemany, y de la responsable del área de Gestión, la directiva María Rayón.
Desde CaixaBank han insistido en que se ha seguido el procedimiento acordado con la EMT por el que se comprueba si el ordenante de las transferencias es quien las puede hacer, como así se hizo en este caso, y si existía documento de autorización con las firmas mancomunadas necesarias. Una vez cumplido el procedimiento, como marca la forma de operar acordada, se procedió a realizar las transferencias, según las fuentes consultadas.
Mientras tanto, la EMT sigue guardando silencio. El sindicato UGT fue el único que este domingo por la tarde cuestionó si las comunicaciones internas de la empresa municipal y del Ayuntamiento eran seguras.