Ciberdelincuentes robaron 4 millones de euros en septiembre de 2019, mediante la estafa del CEO
Robo de más de 4 millones de euros en la EMT (Entidad Municipal de Transportes de Valencia) supuso una grave crisis política, como no podía ser de otra forma. La empresa rápidamente se dedicó a culpabilizar exclusivamente a la directiva víctima del engaño, mientras la Agencia de Protección de Datos le abría un expediente sancionador por graves infracciones de seguridad. La ciberseguridad, en las Administraciones Públicas muchas veces no se toma con el rigor necesario, puesto que el dinero público, al ser del contribuyente, y no del político responsable de gestionarlo, no da esa sensación de necesitar protegerlo.
Cuando ocurrió el hecho el 24 de septiembre de 2019, era tan inconcebible, que parecía una broma de mal gusto. En aquel momento, Josep Enric García, el gerente de la EMT, cargo político de confianza del por aquel entonces concejal comunista de movilidad, Giuseppe Grezzi, comunicaba al grupo de Delitos Tecnológicos de la Policía Nacional que la EMT había sufrido una estafa, conocida como la estafa del CEO.
Los ciberdelincuentes suplantaron la identidad del presidente de la entidad de transporte metropolitano, el edil Giuseppe Grezzi, y asimismo, de un abogado de Deolitte para engañar a la responsable de Administración de la EMT, Celia Zafra, para que ésta les facilitara los datos necesarios para cursar hasta ocho transferencias por un importe total de 4,04 millones de euros a dos cuentas radicadas en Hong Kong para una falsa compraventa empresarial.
Los estafadores pretendían embolsarse hasta 11,4 millones de euros, por la inexistente operación empresarial, por lo que el timo podía haber sido todavía peor para el menguado bolsillo de los contribuyentes valencianos. Tres semanas después de que se iniciara la estafa, empleados de Caixabank, advirtieron al gerente de la EMT, Josep Enric García, de las salidas sospechosas de dinero que se estaban produciendo.
En ese momento se paralizó todo, se denunció, e incluso se advirtió a la Interpol, que lanzó el aviso a las autoridades hongkonesas para que bloquearan las cuentas receptoras del dinero. Fue en balde, apenas quedaban allí 150.000 euros de los cuatro millones: los titulares de las cuentas -que la policía considera mulas, al no ser lo estafadores reales- habían centrifugado el dinero hacia más de una veintena de sociedades. Se perdió el rastro del dinero. Hoy en día, sigue perdido…
Deficiencias internas de la EMT
La EMT sostuvo que la estafa nada que ver con un ciberataque ni ninguno de los sistemas de la EMT fue comprometido. Así pues, la firma municipal que presidía Grezzi organizó toda su defensa descargando la responsabilidad de lo sucedido en Zafra y en Caixabank, que dio curso a las transferencias con firmas en PDF y no en formato digital como era habitual, y rechazó de plano que cualquier deficiencia interna hubiera facilitado la estafa.
Como quedaría comprobado definitivamente en las conclusiones de la comisión de investigación política, aprobadas también por el presidente de la EMT, la empresa presentó deficiencias en el procedimiento de conciliación bancaria y en el control de la tesorería, así como en la falta de un protocolo organizado para la delegación de funciones en situación de baja o permiso.
Otro de los factores que influyó en el desarrollo del timo fue el reducido número de personas en el departamento, al haber solo dos trabajadoras cuando se produjo la estafa, por estar el resto de vacaciones. Esto provocó que las conciliaciones bancarias no se llevasen a cabo con la debida diligencia. La superior de Zafra, María Rayón no delegó ninguna función durante su ausencia, llegando a la conclusión de que hubo tareas fundamentales que fueron desatendidas.
En un primer momento, la Agencia Española de Protección de Datos (AEPD) archivó su investigación tras la denuncia presentada por el Partido Popular al considerar que no había habido brecha digital en el seno de la firma. Sin embargo, las alegaciones presentadas por el grupo municipal popular hicieron que la Agencia Española de Protección de Datos (AEPD) abriera un expediente sancionador a la EMT por posibles fallos de seguridad durante el fraude.
En el documento de inicio de procedimiento sancionador de la Agencia, el organismo señaló que para este tipo de infracciones se estipula una multa de 10 millones de euros en términos generales. Sin embargo, al ser administración pública, la EMT se salvará de la multa administrativa.
Foto: Valencia Plaza
Mientras que la derecha exigía al gobierno municipal la cabeza de Grezzi, los socialistas manifestaban, conscientes de la complejidad de la situación, su complacencia con el cese del gerente de la EMT. A la postre, y tras meses de negociación entre Compromís y PSPV, se efectuó la salida de Josep Enric García, revestida de dimisión para iniciar una etapa nueva en la firma municipal al haber cumplido un ciclo. Un pequeño error de 15.000 euros de más en la indemnización puso la guinda al vodevil.
Más información: https://valenciaplaza.com/el-15-de-los-funcionarios-del-ayuntamiento-de-valencia-picaron-en-el-simulacro-de-ciberestafa