Otra ciberestafa vuelve a cuestionar la seguridad en el Ayuntamiento

Llueve sobre mojado en la seguridad informática del Ayuntamiento, empresas y organismos autónomos. El Palacio de Congresos comunicó ayer un robo de 21.020 euros sufrido por un correo del 16 de diciembre, en el que Securitas, la compañía de vigilancia del edificio, informó de otra cuenta corriente para los pagos. Este lunes, los responsables del centro congresual descubrieron que todo era falso y que habían sido engañados.

La dirección del Palacio de Congresos recibió una carta firmada supuestamente por la compañía de seguridad que trabaja con ellos desde 1998 con un certificado de titularidad de la cuenta bancaria y que llevaba hasta el logo de la entidad, ING. Todo falso salvo el número para el ingreso.

La dirección del correo electrónica era la misma desde la que reciben los mensajes de la empresa, por lo que no despertó sospechas entre los que la leyeron, que no cayeron en la cuenta de que la terminación era «.net» en lugar del auténtico dominio con el que trabaja la firma de seguridad. El fraude fue descubierto al hacer el segundo pago el 29 de enero, correspondiente al mes de diciembre según fuentes del Palacio de Congresos. La cuenta estaba bloqueada y la mensualidad de 22.605 euros fue devuelta el pasado día 5. Este lunes, al cotejar con Securitas el número de cuenta, la sorpresa fue que les dijeron que el número no lo habían cambiado y, además, no habían cobrado todavía noviembre.

Todos estos datos forman parte de la investigación policial después de la denuncia presentada. La «suerte» es que la cuenta estuviera bloqueada, seguramente por otros fraudes, indicaron las mismas fuentes, por lo que no se han producido más desembolsos. Aún así, el robo ha caído como una bomba entre los gestores por el engaño sufrido pese a seguir el protocolo de seguridad, que indica que todos los gastos deben llevar dos firmas.

El fraude se suma a los sufridos desde hace más de un año por el Ayuntamiento y sus empresas. El más sonado ha sido desde luego el ocurrido en la EMT, donde a partir de correos falsificados, también con el método del dominio cambiado, fueron robados 4,04 millones de euros de los que no se ha recuperado prácticamente nada.

Pero no ha sido el único caso. En la misma EMT se suplantó la identidad de un empleado, también con un correo electrónico, para pedir que ingresaron los 3.000 euros de la nómina en otra cuenta. El fraude se solventó con la entrega de la misma cantidad por parte del técnico que había sufrido el engaño.

Otra suplantación de identidad, en este caso de la concejala de Gestión de Recursos, Luisa Notario, intentó cometer un fraude a través de uno de los servicios de su competencia, lo que se conoció mientras se hacía público el informe de la Sindicatura de Comptes sobre la EMT, donde concluía que la ciberseguridad era más que mejorable, con una madurez de un 50% en los sistemas de control, cuando lo recomendable es al menos el 80%.

La sorpresa fue mayúscula al desvelar el alcalde Ribó que la madurez en el Ayuntamiento es todavía inferior, al quedarse en algo más del 47%. Esta es una de las razones por las que el portavoz de Ciudadanos en el Consistorio, Fernando Giner, dijera ayer que «si Ribó no cambia esa actitud autocomplaciente los valencianos vamos a seguir sufriendo robos y estafas por fallos en la ciberseguridad municipal». El edil recordó que hace tan sólo dos días, «el alcalde incluso sacó pecho de que la EMT tenía mejor seguridad que el Ayuntamiento de Valencia. Al escuchar estas palabras y conocer lo sucedido hoy, nos preguntamos ¿en qué manos estamos?», dijo.

El portavoz naranja, quien agradeció «conocer lo sucedido por la gerente del propio Palacio de Congresos», reiteró la necesidad de revisar los mecanismos de seguridad en el Ayuntamiento y en los organismos autónomos, mientras el concejal de la misma formación, Rafa Pardo, anunció que exigirá en el próximo consejo de administración una supervisión de todos los protocolos de seguridad.

Esto ya ha sido revisado, confirmó la directora del Palacio de Congresos, Sylvia Andrés, quien explicó que se mantendrá la doble firma en todos los pagos, aunque con más controles, por ejemplo con correos que se intercambian los responsables del desembolso. La responsable técnica dijo que la ciberseguridad del organismo quedó aprobada en una auditoría el pasado año, para indicar que el fraude tampoco se debe a un exceso de teletrabajo y por lo tanto falta de comunicación entre los empleados. La mayor parte hacen jornada presencial en el edificio de la avenida Cortes Valencianas.

«El pago se hizo siguiendo el protocolo de firma mancomunada del Palacio de Congresos y no se recibió ningún tipo de aviso por parte del banco, sobre anomalías en la coincidencia de la cuenta con el titular», explicó. La que hicieron llegar los estafadores corresponde a una sucursal bancaria en Madrid de una entidad diferente a la que hasta ahora había dado Securitas.

En todos los casos que han trascendido hasta ahora, donde también se produjo un intento en Mercavalencia a finales de 2019, los controles de la red informática funcionaron bien y la cuestión es que los fraudes se han debido a engaños a los empleados. En el caso del robo a la EMT, pese a que en una primera versión se difundió que se había producido un hackeo, informes posteriores de la investigación policial y del banco desde el que se realizaron las transferencias demostró que no había sido así.

Los correos forman parte de lo que se llama estafa del CEO o suplantación de identidad. El Consistorio alertó hace poco a las empresas aspirantes en los concursos que estuvieran alerta respecto a correos electrónicos donde se pide que depositen las garantías tras la adjudicación de una obra. El motivo es que se trataba de un robo al hacer los ingresos en cuentas que nada tenían que ver con el Ayuntamiento.

La fragilidad del Consistorio y sus empresas en la seguridad informática se extiende a la Generalitat. Tan lejos como el 22 de enero se conoció una estafa al Instituto Valenciano de Atención Social y Sanitaria, que perdió cien mil euros al pagar a lo que creían una de sus proveedoras y que en realidad era falsa, una tapadera de unos hackers, con un método casi idéntico al padecido en el Palacio de Congresos.