Una burda falsificación del correo de Grezzi facilitó la estafa millonaria en la EMT
02 OCTOBER 2019
Los autores de la estafa multimillonaria a la EMT de València suplantaron un único correo electrónico que ni siquiera existía y al que dieron una apariencia muy burda, lo que ha generado incredulidad y sorpresa dado el resultado conseguido, aunque, por otro lado, deja tranquilos a los responsables del ayuntamiento valenciano porque, de las investigaciones practicadas hasta ahora, no se desprende que haya habido un ataque masivo a los correos electrónicos municipales. Así, los estafadores no se molestaron ni les hizo falta asaltar el sistema de seguridad informática del Ayuntamiento de València, sino que su estratagema se redujo a enviar un primer correo a la jefa de Administración suplantando la supuesta identidad de su máximo jefe, el concejal de Movilidad Giuseppe Grezzi.
Para ello, crearon un usuario que era, literalmente, «ggiuseppe@emt.valencia.es», cometiendo tres errores básicos que hacen casi increíble que colara en una alta funcionaria con 35 años de ejercicio profesional y responsable de la administración de toda la entidad municipal de transporte.
El primero, de bulto, utilizar el nombre de Grezzi cuando ni siquiera dispone de una cuenta de correo explícita de la EMT, algo que se supone debía conocer la cesada jefa de Administración, responsable de todos los pagos de la entidad municipal y que lleva los últimos cuatro años a las órdenes de ese concejal. De hecho, estaba entre los veinte cargos más importantes del ente, de manera que resulta obvio que jamás cruzó un correo con el concejal en esa cuenta de correo, dado que nunca existió hasta que se la inventaron los estafadores.
El segundo, utilizar la citada secuencia en el nombre, cuando la norma habitual para las cuentas de correo electrónico, principalmente las corporativas, es utilizar la inicial del nombre de pila y el primer apellido completo. Es decir, habría sido más creíble que hubiesen inventado una cuenta que llevase por usuario ggrezzi@emt.valencia.es, en todo caso.
Y, por último, algo casi inconcebible. Si se utilizaba la función 'responder a' para contestar a ese primer correo que recibió la funcionaria, automáticamente aparecía, entre corchetes, el verdadero remitente, alojado en un dominio que remite a un paraíso fiscal. Y, según las fuentes consultadas, al parecer las respuestas a los estafadores realizadas por la alta funcionaria despedida la pasada semana, nada más detectarse el fraude, fueron realizadas con esa opción, por lo que, según esas fuentes, de carácter municipal, no era demasiado complicado descubrir este engaño.
Pero esa es solo la primera parte de la estafa. La segunda, y principal para el buen éxito de la operación fraudulenta, fue convencer a la funcionaria de que no aplicase el doble sistema de control en los pagos que puso en marcha el Govern de la Nau en 2015 –antes, en tiempos del PP, no existía ese filtro-. El sistema consiste en que nada queda validado sin la firma electrónica mancomunada del gerente de la EMT y de la jefa de Gestión Financiera de la entidad, ambos cargos superiores al de la jefa de Administración. Y, como su propio nombre indica, si falla una de las dos firmas, si uno de los dos se niega a firmar porque no ve clara la operación, esta no poodría salir adelante.
En este caso, según las fuentes antes citadas, no es que faltara una de las firmas, es que no había ninguna. Y, aún así, la alta funcionaria, según la denuncia presentada por el gerente de la EMT ante la Policía en nombre del Ayuntamiento de València, ordenó que se efectuaran los pagos reenviando al banco la carta de pago que le hicieron llegar los estafadores –un simple PDF-. Y eso fue todo para generar el pago de más de cuatro millones de euros –algo así como el 3,6 % del presupuesto anual de la entidad municipal- a una supuesta empresa radicada en China con una finalidad, cuanto menos sospechosa para una firma como la EMT, como era la de comprar una mercantil en ese país.
Por esa razón, el ayuntamiento, que detectó el fraude el lunes por la tarde, denunció ante la Policía Nacional los hechos a la mañana siguiente y destituyó de manera fulminante a la jefa de Administración, una funcionaria con 35 años de carrera en la entidad, lo que, a juicio de las citadas fuentes, convierte en inexplicable su actitud.
Será el grupo de Delitos Teconológicos de la Policía Nacional de València quien determine ahora, siguiendo el rastro del dinero y de los correos electrónicos cruzados entre los estafadores y la funcionaria despedida, dónde está y quién es el verdadero autor de la estafa. Si se trata, efectivamente, de una organización criminal de las muchas que operan a distancia a diario timando a particulares y empresas con suplantación de identidad electrónica o si es alguien mucho más próximo que ha actuado con fines económicos pero también con ánimo de perjuicio al actual gobierno municipal.
La Policía también tratará de dilucidar el papel de la alta funcionaria destituida y delimitar no solo su presunta responsabilidad en la ejecución de la estafa, sino si ha sido una simple cooperadora necesaria involuntaria de cuya supuesta falta de diligencia en las comprobaciones se habrían beneficiado los piratas informáticos o si su implicación es mayor.
Latest Posts
- Gartner nombra a Sophos líder en el Cuadrante Mágico para Endpoint Protection Platforms 12 MARCH 2023
- MediaMarkt sufre un ciberataque por ransomware que afecta a sus tiendas a pocas semanas del Black Friday 08 NOVEMBER 2021
- Otro ciberataque en Estados Unidos afecta al mayor proveedor de carne del mundo 04 JUNE 2021
- La falsa llamada de Microsoft: cuidado con esta estafa 13 JANUARY 2021