Directivos del Palacio de Congresos obviaron alertas de ciberseguridad durante el fraude

Pero ahora, dos semanas después de que se conociera el fraude y el Ayuntamiento explicara lo que había pasado, se conocen nuevos detalles. LAS PROVINCIAS ha tenido acceso a documentación relativa al fraude que demuestra, entre otros aspectos, que los directivos y técnicos del Palacio de Congresos fueron, como mínimo, tan engañados como la empleada externa, tal como demuestran los 'mails' intercambiados con la trama.

Hasta el momento se tenía conocimiento de dos correos electrónicos que llegaron a empleados del centro de convenciones los días 20 y 21 junio. El primero era para un técnico del Palacio y llega a las 15 horas de ese día 20. En él, los ladrones, que se hacen pasar por el director financiero de la empresa proveedora, 4foreverything, decía, literalmente: «Hola, ¿podrías informarnos si es posible cambiar la información bancaria? Desde el 10 de junio de 2024, hemos actualizado nuestra información bancaria y deseamos recibir el pago en la nueva cuenta bancaria. ¿Qué se necesita para realizar el cambio?».

Asimismo, el día 21 a las 12.55 horas remiten otro correo, en este caso al director financiero del Palacio de Congresos, Daniel Sobrino, que estaba de baja, en el que una tal Alicia Moreno, que nadie en la empresa proveedora dice conocer, que indica: «Buenas tardes, comprobando nuestra contabilidad observamos salvo omisión o error que se reflejan pendientes de pago las facturas adjuntas. También comentarles que la empresa 4foreverything S. L. va cambiar (sic) sus datos bancarios, por lo tanto, todos los pagos deben realizarse a la nueva cuenta. En breve les enviaremos el certificado bancario para actualización en su sistema. ¿Me podrían indicar, por favor, cuándo realizarían el pago de las mismas? Para tenerlo en mis previsiones. A la espera de sus noticias, atentamente, Alicia Moreno». El mensaje se repite cuatro minutos después, ya con archivos adjuntos, a las 12.59 horas.

Este correo es curioso por varios motivos. Primero, porque viene de una cuenta fraudulenta distinta: dpto@contabilidad-financiera.com. Y segundo porque, y eso es importante, el nombre de la empresa aparece en otra fuente y con otro tamaño, como si hubiera sido copiado y pegado de otro documento, como puede ocurrir con quien no esté acostumbrado a escribir «4foreverything S. L.». Ambos correos remitidos a directivos y técnicos del Palacio de Congresos están presididos por el mismo mensaje: «No suele recibir correos electrónicos de» y la cuenta falsa. Ambos hombres, por tanto, vieron claramente el aviso, que se muestra en otra fuente y más pequeño que el resto del cuerpo del mensaje.

Además, el texto incluye un enlace a una página web de Microsoft en la que se explica, literalmente, qué es el 'phishing': «El phishing es un ataque que intenta robar su dinero o su identidad, haciendo que divulgue información personal (como números de tarjeta de crédito, información bancaria o contraseñas) en sitios web que fingen ser sitios legítimos. Los ciberdelincuentes suelen fingir ser empresas prestigiosas, amigos o conocidos en un mensaje falso, que contiene un vínculo a un sitio web de phishing». Un clic habría hecho, al menos, dudar a los trabajadores y 194.000 euros podían seguir, todavía, en las saneadas cuentas del Palacio. Cierto es que, tal como explican fuentes informáticas, ese mensaje que preside todos los correos electrónicos de los ladrones aparece cuando te intercambias por primera vez un mensaje con una cuenta que el cliente de correo no conoce.

Pero es que, además de todo esto, se da la circunstancia de que al menos uno de estos trabajadores contestó a los ladrones, sin sospechar lo que estaba ocurriendo. Después de recibir el correo fraudulento el día 20 a las 15 horas, el técnico de calidad del centro de convenciones responde a las 8.29 horas del día siguiente: «Le pongo en contacto con el departamento correspondiente». Ese mensaje se reenvió a la trabajadora de la empresa externa y al director financiero, el mismo que al día siguiente recibiría otro correo de los ladrones que procedería, según la denuncia del Ayuntamiento, a reenviar a la empresa encargada de la contabilidad. Ese reenvío se hizo a las 13.53 horas, una hora después de la llegada del correo falso.

La empleada de la empresa encargada de la contabilidad, que no de la gestión financiera, pide hasta en dos ocasiones el certificado de titularidad bancaria, en lo que parece demostrar un proceder habitual que no es el que marca el protocolo especial creado en 2021 para luchar contra los fraudes después de que en 2020 otra suplantación de identidad hiciera al Palacio de Congresos perder 21.000 euros. Ese protocolo marcaba que tenía que ser el director financiero, el mismo que en este caso reenvió los correos desentendiéndose del tema, el que se encargara del cambio de cuentas.

El protocolo señala que, en caso de cambio de cuenta bancaria. «el director financiero mantendrá conversación telefónica con el interlocutor autorizado de la empresa proveedora que le reasegure la pertinencia y corrección de la cuenta corriente en la que se ha de ingresar el pago». Además, es ese mismo directivo el que tiene que pedir el proveedor que le envíe un correo con el certificado electrónico, la certificación de titularidad bancaria (la misma que, ante el reenvío del director financiero, tiene que reclamar la empleada externa), el registro de poderes de la persona física y los datos de contacto del director de la sucursal de la entidad financiera en la que se desean domiciliar los pagos.

El protocolo marca que el director financiero, tras hablar con el banco, tiene que reenviar el certificado de titularidad bancaria y archivar en formato PDF toda la documentación relativa. Si esto lo marca el protocolo del Palacio, la pregunta es obvia: ¿por qué el encargado de hacerlo cumplir, por mucho que estuviera de baja, reenvió la petición de cambio de cuenta a la encargada de la contabilidad, una empleada de una empresa externa?