El Consell, expuesto a un robo como el de la EMT, por sus fallos en ciberseguridad

La Generalitat Valenciana tiene un problema con la ciberseguridad. Apenas unos meses después de la macroestafa a la Empresa Municipal de Transportes (EMT) con el desvío de cuatro millones de euros a Hong Kong, la Sindicatura de Comptes alerta de que el fraude puede volver a repetirse. Por igual o mayor importe y en prácticamente cualquier área de la administración. Por ejemplo, los especialistas alertan de «debilidades significativas» en el sistema de control de los gastos de personal en la Conselleria de Sanidad. El órgano insta a los responsables de la conselleria a que tomen las medidas adecuadas antes «la multiplicidad de amenazas» a las que está expuesta la Administración valenciana.

Recoge, por ejemplo, la necesidad de garantizar la protección de la información en estos departamentos. Recientemente, la propia Conselleria de Sanidad ya lanzó un aviso a sus funcionarios ante el riesgo de un ataque de esta naturaleza. Reclamaba a los profesionales que extremaran las preocupaciones después que de que se hubieran registrado varios intentos de fraude similares al sufrido en la empresa municipal de transportes.

El órgano auditor también hace un análisis especial de la situación de Ferrocarrils de la Generalitat Valenciana (FGV) y llega a una conclusión idéntica a la de la Conselleria de Sanidad: «debilidades significativas». En un informe previo sobre esta empresa de la Conselleria de Infraestructuras ya se indicaba que «la cultura de ciberseguridad se debe trasladar a todos los niveles y departamentos. El sindic adelantaba entonces que un aspecto que se debe destacar es que la mejora de los controles de ciberseguridad requerirá de actuaciones e inversiones »tanto en medios materiales como personales, que deben ser adecuadamente planificados«

Una recomendación que mantienen los especialistas y que ya se explicitaba en anteriores dosieres es la necesidad de recabar la información relativa a las personas autorizadas para la disposición de los fondos en las distintas cuentas bancarias de la Administración «para su revisión y consiguiente depuración». El control de los trabajadores con posibilidades de autorizar pagos desde las empresas públicas ha sido una de las claves para perpetrar la macroestafa de la EMT.

Los estafadores consiguieron robar más de cuatro millones de euros de la EMT aunque pretendían, en realidad, sacar 11,4 millones. Así se desprende de los correos intercambiados entre la directiva despedida y la trama. Los miembros del grupo delictivo consiguieron suplantar la identidad del concejal y presidente de la empresa, Giuseppe Grezzi. a través de la cuenta ggiuseppe@emtvalencia.es. En él, con varias incoherencias gramaticales y faltas de ortografía, el presunto concejal le pedía a la directiva despedida confidencialidad: «Este asunto debe ser manejado únicamente por ti y en ningún caso quiero que lo hables con nadie hasta el anuncio oficial de la compra».

Este tipo de correos, que llegan simulando ser un alto cargo o contable de la empresa con capacidad para hacer transferencias de relevancia se denominan 'whaling'. Este es el nombre que se da a los buques balleneros en inglés y, por analogía, se asocia a la pesca de 'peces gordos'. La fórmula no es nueva y el propio Instituto Nacional de Ciberseguridad (Incibe) lleva alertando de ella desde 2017, aunque es un ardid que, con la evolución que permite la tecnología, se repite desde hace 200 años. Primero fue por carta y ahora por la red.

La solución está en gran medida de puertas para adentro, con recuerdos a los empleados de las medidas de seguridad para reducir riesgos. Los expertos en ciberseguridad coinciden en que las empresas en las que la dirección se ejerce por el 'ordeno y mando' «son las que más fácilmente pueden acabar cayendo en la trampa». Simplemente se ejecutan las órdenes con tal de no contradecir a los superiores. Una de las formas más sencillas y sensatas para poder evitar los fraudes es contar con una segunda firma de control y preguntar cara a cara o por teléfono al responsable de la empresa que remite la orden si ha sido él el autor del correo.