Un informe avisó un mes antes del riesgo de estafa al Palacio de Congresos de Valencia

El Palacio de Congresos recibió a principios del pasado noviembre el resultado de una auditoría que tenía como objeto revisar todos los procedimientos de pagos y tesorería del organismo. La conclusión del estudio puede considerarse premonitoria del robo conocido este miércoles al referirse en una de sus consideraciones a que puede «existir un riesgo de suplantación de identidad», según el documento al que ha tenido acceso LAS PROVINCIAS.

La referencia añade que no se exigía en el momento de realizar el informe a los proveedores «certificado de la entidad bancaria que confirme los titulares de la cuenta ni se confirma que los datos proporcionados o modificados por los terceros son veraces». Antes se mencionaba que las empresas contratadas por el Palacio de Congresos «remiten sus facturas mediante correo electrónico. El alta en el registro de terceros se cumplimenta con los datos bancarios y de identificación que vienen detallados en la primera factura», lo que era considerado una medida insuficiente de control frente a posibles estafas, lo que sucedió después.

El robo consistió en el envío de un correo electrónico el 16 de diciembre por parte de los estafadores simulando ser la empresa de seguridad del recinto, la misma desde 1998, pidiendo recibir el ingreso mensual por los servicios en otra cuenta corriente.

Gracias a los documentos falsificados que incluían en el correo electrónico, entre los que se encontraba un certificado de titularidad bancaria, engañaron tanto a la directora gerente del organismo, Sylvia Andrés, como al director financiero, Daniel Sobrino, quienes firmaron para el envío de 21.020 euros a la nueva cuenta corriente, perteneciente a otro banco al habitual.

La dirección de correo en el que llegó la petición es similar a la utilizada por la firma Securitas con el Palacio de Congresos, salvo que el dominio era «.net», lo que no fue advertido por los responsables, que cumplimentaron el protocolo de la firma mancomunada.

La auditoría indicó un mes antes que habida cuenta de los «riesgos detectados», se hacían necesarias cuatro recomendaciones. La primera era «validar y conformar las facturas a través del sistema de gestión de pedidos de forma electrónica mediante certificados». Los técnicos hicieron pruebas con el proceso que siguen los pagos, encargos por contrato menor u otras cuestiones para determinar mejoras.

La segunda de la recomendaciones fue «dejar documento por escrito que acredite la realización y supervisión tanto de las conciliaciones como de los arqueos de caja», aunque la más relevante corresponde a la tercera, que señalaba la petición de «verificar los datos de identidad y bancarios antes del pago de cualquier factura, solicitando certificado de la entidad bancaria». Los estafadores incluyeron un certificado de este tipo en su correo electrónico, falsificado con membrete, firma y sello donde lo único real era el número de cuenta. La cuestión es que este extremo no fue verificado por el Palacio de Congresos por otra vía, como consta en el relato de la denuncia presentada ante la Policía Nacional el martes.

Después de recibir el correo electrónico de los estafadores, la nueva cuenta corriente se introdujo en el programa de contabilidad y el 23 de diciembre se produjo la orden de pago al banco junto con toda la remesa de facturas de los proveedores. El resumen que incluye el atestado policial habla de que el «pago de estas remesas se hizo siguiendo el protocolo de firma mancomunada. En todo momento se actuó con el convencimiento de que el banco que ha de realizar la transferencia tiene automatizado el proceso, de tal manera que los dígitos de la cuenta corriente y su titular deban coincidir y que, de no ser así, se emita algún tipo de alarma«. Esto no ocurrió.

El 29 de enero se procedió a pagar la factura del mes de diciembre por una cuantía de 22.605 euros. El pasado lunes se detectó la devolución de la transferencia, lo que había ocurrido el día 5, y al llamar a Securitas para comprobar el número de cuenta se descubrió todo el pastel, la estafa.

El alcalde Ribó dijo ayer, según recogió Europa Press, que es necesario mejorar la ciberseguridad en las entidades autónomas para evitar estafas como la del Palacio de Congresos. Tras participar en unas jornadas sobre legislación urbanística, dijo que «se tiene que mejorar» esta cuestión y «es un tema que este año nos vamos a poner seriamente con esto«. También consideró que »las empresas privadas no lo hacen público, pero hay muchas estafas por ahí«.

«En estos momentos, los temas de ciberseguridad se están convirtiendo en prioritarios, y el Ayuntamiento lo tiene muy trabajado, aunque siempre se ha de mejorar, pero las entidades autónomas tienen una serie de fallos que se manifestaron en su momento en la EMT mediante un engaño terrible y que se ha vuelto a manifestar», dijo. El próximo lunes se reúne el consejo del Palacio de Congresos para informar de la estafa.