Una estafa de más de cuatro millones de euros comenzó con una llamada telefónica al despacho de una de las jefas administrativas de la Empresa Municipal de Transportes de Valencia (EMT). Celia Zafra, entonces directora de Negociado con un salario de casi 5.000 euros al mes, escuchó a un hombre que se identificaba como uno de los abogados de una compañía auditora relacionada con el ente público. Invocaba el nombre del presidente de la EMT y le envió un correo con un documento de confidencialidad que ella debía firmar. Después le escribió alguien desde una cuenta similar a la del concejal de Movilidad del ayuntamiento valenciano. Ese correo decía: «este asunto debe ser manejado únicamente por ti y en ningún caso quiero que lo hables con nadie hasta el anuncio oficial de la compra (de una empresa)». Le pedían sigilo y urgencia, y mantener las comunicaciones solo por ‘email’ para mejor «trazabilidad» de la operación frente a las autoridades españolas. Ella respondió a ambos. «Yo busqué en Google el nombre de quien me había llamado y en efecto figuraba en la web de la consultoría con la que nosotros trabajábamos en ese momento. No me extrañó. Si hubiera sido de otra compañía…», rememora Zafra. «Me habló de una operación confidencial, que anunciaría el concejal en una rueda de prensa. Inmediatamente recibí una carta con la firma de él». Ella refrendó el documento y empezó a hacer el trámite burocrático, que implicaba la autorización por parte de dos de los cuatro apoderados. El saqueo se puso en marcha. En dos semanas, entre el 3 y el 20 de septiembre de 2019, la EMT realizó ocho transferencias por 4.040.898 euros a una cuenta del Banco de China en Hong Kong, a nombre de «compañías extranjeras desconocidas». Ni el banco que hacía las transferencias detectó estas altas cantidades sospechosas, realizadas sin la comprobación doble de los apoderados, ni saltó la alarma dentro de la EMT. Zafra llegó a intercambiar unos 40 correos con los impostores. Le pidieron, y ella facilitó, muestras de las firmas de los apoderados y un borrador de carta de ordenación de transferencia de pago, suficiente para que falsificaran ese documento y las rúbricas, se lo mandaran y ella lo reenviara al banco, que tramitó esa transferencia de forma «manual», indica la sentencia del Tribunal de Cuentas. Este tipo de fraudes se conoce como ‘la estafa del CEO’, debido a la suplantación de la identidad del mayor responsable de la empresa. Suele funcionar. «Siempre hay un administrativo que no se percata de esa maniobra y muchas veces prepara la transferencia y la envía a un segundo escalón, como el departamento de Finanzas que tiene que dar el visto bueno. Pero ya van con los pantalones bajados y no tienen capacidad de detección», explica el inspector Antonino Flores, jefe de grupo de Ciberamenazas Financieras de la Unidad Central de Ciberdelincuencia de la Policía Nacional, que el mes pasado llevó a la Audiencia Nacional una operación iniciada en 2019 con denuncias en 40 países con 65 detenidos. «Los delincuentes no dudan en llamar por teléfono y preguntar en perfecto español por el estado de la transferencia. Tienen tal conocimiento de las circunstancias que no puedes descartar que haya espionaje ‘in situ’». Como ejemplo de ese estudio minucioso y refinado por parte de los delincuentes, el desfalco a la EMT valenciana sucedió en el momento preciso. El día de la primera llamada coincidió con el inicio de las ausencias de los jefes de Zafra, uno por vacaciones y otra por baja maternal. También con la llegada de 19 millones de euros del Banco Europeo de Inversiones, depositados en esa cuenta que usualmente empezaba el mes con cuatro millones que menguaban desde el primer día. Crédulos pero no tontos Un año después de timar a la EMT, los ciberdelincuentes tuvieron éxito con la farmacéutica Zendal, a la que sustrajeron nueve millones. No todos los engaños suceden en grandes empresas ni por montos millonarios. Hay también ligas menores que no llegan hasta la Policía. «No se realizó ninguna denuncia ni proceso judicial», refiere una persona que pide anonimato y trabaja en una teleco. A él le llegó un correo del supuesto CEO que le decía que estaba en una reunión y necesitaba un favor. Le pidió su número y le envió un Whatsapp. La estafa se hizo por medio de tarjetas de Google Play. Con estos prepagos los timos suelen comenzar con sumas de entre 500 y mil euros. La primera vez, según otro testimonio de una víctima, el supuesto consejero pidió cinco tarjetas de regalo de Apple. En un segundo contacto, poco después, otras diez. Allí fue cuando despertó la sospecha. Saben a quién llamar y cuándo. «El fraude del CEO se caracteriza porque tiene un gran rédito económico para los ciberdelincuentes, que se toman muchas molestias para investigar a su víctima. Es una gran labor de espionaje», explica Miriam Puente, experta del Instituto Nacional de Ciberseguridad (Incibe). «Intentan averiguar lo más posible de la empresa, de la figura del CEO, que es la que suplantarán, y de la persona que tiene la capacidad de hacer el movimiento económico en la empresa. Alguien de contabilidad». Las trampas se tienden con precisión quirúrgica para que el engañado no se sienta amenazado ni aislado. ¿Son tontas las víctimas? «Los estafados tienen un cargo medio y suelen estar en los departamentos de contabilidad», responde Puente. «Son personas supercualificadas en su cargo, que pueden llevar muchos años haciendo este tipo de movimientos y transferencias. Pero cuando una empresa no refuerza las medidas de seguridad, los ciberdelincuentes consiguen entrar. Nadie se siente susceptible de recibir un ciberataque y creemos que solo pasa a muy grandes compañías». El seguimiento del malhechor comienza con llamadas a la empresa, búsqueda en portales como LinkedIn o correos electrónicos en busca de información específica sin levantar sospechas. Luego puede pasar a estrategias más técnicas, como incrustar un ‘malware’ para que un empleado lo descargue y así conocer ciertas contraseñas o con ‘cybersquatting’, que es «comprar un dominio muy parecido al de la empresa que se quiere estafar», especifica Puente. «Así saben cuándo el CEO está en viaje de negocios, de manera que quien tiene que hacer esa transferencia le sea más difícil validar la operación. Le suplantan diciendo ‘como ya sabes estoy fuera, necesito esto de manera urgente, confidencial, no puedes contactarme por teléfono’». Dinero esfumado No solo hace falta encontrar a la empresa vulnerable y a empleados crédulos. Para saquear tales cantidades de dinero, los estafadores montan estructuras ramificadas y complejas donde hay «tres niveles de criminales», expone Flores, que también participó en una operación en ocho provincias españolas con casi un centenar de investigados en 2019. «Están las mulas bancarias, los captadores y los cabecillas. En este caso pudimos conocer cómo operaban. Cuando recibían la información de que tenían ya una víctima, o alguien a punto, iban a su red de mulas. Advertían dónde necesitaban las cuentas porque saben qué bancos hacen las transferencias internacionales con mayor rapidez. El dinero se envía a los cabecillas por distintos métodos, incluso la compra de bienes, vehículos o material de construcción, que acumulan en contenedores y los envían en barco». La estafa de los cuatro millones de la EMT se descubrió en la novena transacción, cuando el banco sí cumplió con el mecanismo de seguridad y se advirtió la brecha. Zafra fue despedida cuatro días más tarde, tras de 38 años en un puesto de confianza. Ella tenía 60. En abril de 2022 el Tribunal de Cuentas la condenó a pagar íntegro el monto estafado por «negligencia grave». Ella ha recurrido la sentencia. «Tengo todos mis bienes embargados. Cómo puedo hacer frente a eso. Me faltarían vidas». En la investigación que cuatro años después sigue su curso en los tribunales se descubrió que los testaferros de Hong Kong eran ciudadanos chinos, asegura Zafra, a la que los peritos informáticos exculparon de complicidad después de analizar sus dispositivos electrónicos. «No era consciente del fraude que se estaba llevando a cabo», dice una de las sentencias de su caso. Tampoco se comunicaba «con los atacantes por canales alternativos». Ella, concluyen los peritos, fue «inducida a colaborar en el fraude, mediante técnicas de ingeniería social habituales en este tipo de ataques». No hay ninguna esperanza de recuperar el dinero estafado.
Una estafa de más de cuatro millones de euros comenzó con una llamada telefónica al despacho de una de las jefas administrativas de la Empresa Municipal de Transportes de Valencia (EMT). Celia Zafra, entonces directora de Negociado con un salario de casi 5.000 euros al mes, escuchó a un hombre que se identificaba como uno de los abogados de una compañía auditora relacionada con el ente público. Invocaba el nombre del presidente de la EMT y le envió un correo con un documento de confidencialidad que ella debía firmar. Después le escribió alguien desde una cuenta similar a la del concejal de Movilidad del ayuntamiento valenciano. Ese correo decía: «este asunto debe ser manejado únicamente por ti y en ningún caso quiero que lo hables con nadie hasta el anuncio oficial de la compra (de una empresa)». Le pedían sigilo y urgencia, y mantener las comunicaciones solo por ‘email’ para mejor «trazabilidad» de la operación frente a las autoridades españolas. Ella respondió a ambos. «Yo busqué en Google el nombre de quien me había llamado y en efecto figuraba en la web de la consultoría con la que nosotros trabajábamos en ese momento. No me extrañó. Si hubiera sido de otra compañía…», rememora Zafra. «Me habló de una operación confidencial, que anunciaría el concejal en una rueda de prensa. Inmediatamente recibí una carta con la firma de él». Ella refrendó el documento y empezó a hacer el trámite burocrático, que implicaba la autorización por parte de dos de los cuatro apoderados. El saqueo se puso en marcha. En dos semanas, entre el 3 y el 20 de septiembre de 2019, la EMT realizó ocho transferencias por 4.040.898 euros a una cuenta del Banco de China en Hong Kong, a nombre de «compañías extranjeras desconocidas». Ni el banco que hacía las transferencias detectó estas altas cantidades sospechosas, realizadas sin la comprobación doble de los apoderados, ni saltó la alarma dentro de la EMT. Zafra llegó a intercambiar unos 40 correos con los impostores. Le pidieron, y ella facilitó, muestras de las firmas de los apoderados y un borrador de carta de ordenación de transferencia de pago, suficiente para que falsificaran ese documento y las rúbricas, se lo mandaran y ella lo reenviara al banco, que tramitó esa transferencia de forma «manual», indica la sentencia del Tribunal de Cuentas. Este tipo de fraudes se conoce como ‘la estafa del CEO’, debido a la suplantación de la identidad del mayor responsable de la empresa. Suele funcionar. «Siempre hay un administrativo que no se percata de esa maniobra y muchas veces prepara la transferencia y la envía a un segundo escalón, como el departamento de Finanzas que tiene que dar el visto bueno. Pero ya van con los pantalones bajados y no tienen capacidad de detección», explica el inspector Antonino Flores, jefe de grupo de Ciberamenazas Financieras de la Unidad Central de Ciberdelincuencia de la Policía Nacional, que el mes pasado llevó a la Audiencia Nacional una operación iniciada en 2019 con denuncias en 40 países con 65 detenidos. «Los delincuentes no dudan en llamar por teléfono y preguntar en perfecto español por el estado de la transferencia. Tienen tal conocimiento de las circunstancias que no puedes descartar que haya espionaje ‘in situ’». Como ejemplo de ese estudio minucioso y refinado por parte de los delincuentes, el desfalco a la EMT valenciana sucedió en el momento preciso. El día de la primera llamada coincidió con el inicio de las ausencias de los jefes de Zafra, uno por vacaciones y otra por baja maternal. También con la llegada de 19 millones de euros del Banco Europeo de Inversiones, depositados en esa cuenta que usualmente empezaba el mes con cuatro millones que menguaban desde el primer día. Crédulos pero no tontos Un año después de timar a la EMT, los ciberdelincuentes tuvieron éxito con la farmacéutica Zendal, a la que sustrajeron nueve millones. No todos los engaños suceden en grandes empresas ni por montos millonarios. Hay también ligas menores que no llegan hasta la Policía. «No se realizó ninguna denuncia ni proceso judicial», refiere una persona que pide anonimato y trabaja en una teleco. A él le llegó un correo del supuesto CEO que le decía que estaba en una reunión y necesitaba un favor. Le pidió su número y le envió un Whatsapp. La estafa se hizo por medio de tarjetas de Google Play. Con estos prepagos los timos suelen comenzar con sumas de entre 500 y mil euros. La primera vez, según otro testimonio de una víctima, el supuesto consejero pidió cinco tarjetas de regalo de Apple. En un segundo contacto, poco después, otras diez. Allí fue cuando despertó la sospecha. Saben a quién llamar y cuándo. «El fraude del CEO se caracteriza porque tiene un gran rédito económico para los ciberdelincuentes, que se toman muchas molestias para investigar a su víctima. Es una gran labor de espionaje», explica Miriam Puente, experta del Instituto Nacional de Ciberseguridad (Incibe). «Intentan averiguar lo más posible de la empresa, de la figura del CEO, que es la que suplantarán, y de la persona que tiene la capacidad de hacer el movimiento económico en la empresa. Alguien de contabilidad». Las trampas se tienden con precisión quirúrgica para que el engañado no se sienta amenazado ni aislado. ¿Son tontas las víctimas? «Los estafados tienen un cargo medio y suelen estar en los departamentos de contabilidad», responde Puente. «Son personas supercualificadas en su cargo, que pueden llevar muchos años haciendo este tipo de movimientos y transferencias. Pero cuando una empresa no refuerza las medidas de seguridad, los ciberdelincuentes consiguen entrar. Nadie se siente susceptible de recibir un ciberataque y creemos que solo pasa a muy grandes compañías». El seguimiento del malhechor comienza con llamadas a la empresa, búsqueda en portales como LinkedIn o correos electrónicos en busca de información específica sin levantar sospechas. Luego puede pasar a estrategias más técnicas, como incrustar un ‘malware’ para que un empleado lo descargue y así conocer ciertas contraseñas o con ‘cybersquatting’, que es «comprar un dominio muy parecido al de la empresa que se quiere estafar», especifica Puente. «Así saben cuándo el CEO está en viaje de negocios, de manera que quien tiene que hacer esa transferencia le sea más difícil validar la operación. Le suplantan diciendo ‘como ya sabes estoy fuera, necesito esto de manera urgente, confidencial, no puedes contactarme por teléfono’». Dinero esfumado No solo hace falta encontrar a la empresa vulnerable y a empleados crédulos. Para saquear tales cantidades de dinero, los estafadores montan estructuras ramificadas y complejas donde hay «tres niveles de criminales», expone Flores, que también participó en una operación en ocho provincias españolas con casi un centenar de investigados en 2019. «Están las mulas bancarias, los captadores y los cabecillas. En este caso pudimos conocer cómo operaban. Cuando recibían la información de que tenían ya una víctima, o alguien a punto, iban a su red de mulas. Advertían dónde necesitaban las cuentas porque saben qué bancos hacen las transferencias internacionales con mayor rapidez. El dinero se envía a los cabecillas por distintos métodos, incluso la compra de bienes, vehículos o material de construcción, que acumulan en contenedores y los envían en barco». La estafa de los cuatro millones de la EMT se descubrió en la novena transacción, cuando el banco sí cumplió con el mecanismo de seguridad y se advirtió la brecha. Zafra fue despedida cuatro días más tarde, tras de 38 años en un puesto de confianza. Ella tenía 60. En abril de 2022 el Tribunal de Cuentas la condenó a pagar íntegro el monto estafado por «negligencia grave». Ella ha recurrido la sentencia. «Tengo todos mis bienes embargados. Cómo puedo hacer frente a eso. Me faltarían vidas». En la investigación que cuatro años después sigue su curso en los tribunales se descubrió que los testaferros de Hong Kong eran ciudadanos chinos, asegura Zafra, a la que los peritos informáticos exculparon de complicidad después de analizar sus dispositivos electrónicos. «No era consciente del fraude que se estaba llevando a cabo», dice una de las sentencias de su caso. Tampoco se comunicaba «con los atacantes por canales alternativos». Ella, concluyen los peritos, fue «inducida a colaborar en el fraude, mediante técnicas de ingeniería social habituales en este tipo de ataques». No hay ninguna esperanza de recuperar el dinero estafado.