• "Érase una vez" ... l'EMT
Soci de IT, privacitat i compliance de ECIJA

"Érase una vez" ... l'EMT

29 d'Octubre de 2019
Salvador Silvestre

A finals del mes passat va saltar a la premsa la rocambolesca història patida per l'EMT (Empresa Municipal de Transports de València). La seua cap d'administració va transferir més de quatre milions d'euros a un compte bancari a Hong Kong en diferents transferències creient que participava en una operació secreta perquè així li ho indicava per correu electrònic el seu màxim responsable, Giuseppe Grezzi, regidor de mobilitat sostenible de l'Ajuntament de València.

 

L'ocorregut té tots els vímets per a una pel·lícula de Tarantino, una història no lineal entre València i Hong Kong, una col·lecció de delinqüents i una operativa plena de misteri que actualment està sent objecte d'investigació pel Jutjat d'Instrucció núm. 18 de València. Tan sols faltaria la música…

Però què ha ocorregut? Tot sembla indicar que estem davant una ciberestafa denominada com “L'estafa del CEO”. Una modalitat de phishing que en realitat anomenen whaling en honor als vaixells baleners anglesos per la importància del peix objecte d'estafa. La mecànica és la suplantació d'identitat i l'ús de correus electrònics i telefonades amb la intenció d'aconseguir que el “directiu” amb accés directe als recursos econòmics de l'empresa aconseguisca fer el desplaçament de diners. 

 

Per a l'Institut Nacional de Ciberseguretat aquest tipus d'enganys: “(…) consisteix en el fet que un empleat d'alt rang, o el comptable de l'empresa, amb capacitat per a fer transferències o accés a dades de comptes, rep un correu, suposadament del seu cap, siga el seu CEO, president o director de l'empresa. En aquest missatge li demana ajuda per a una operació financera confidencial i urgent".

De qui és la responsabilitat?

Ací podem trobar diferents fronts oberts. D'una banda, la cap d'administració que, pel que sembla, es va saltar diferents protocols d'actuació per a realitzar les transferències, va ser acomiadada. Les últimes notícies apunten al fet que no sembla estar vinculada amb el frau i que realment va ser víctima d'aquesta estafa del CEO.

Respecte a l'EMT, si bé és víctima del delicte i l'acció de l'empleada no li causaria cap benefici directe ni indirecte, la qual cosa exclouria la seua responsabilitat penal, podria tindre un altre tipus de responsabilitats… per començar, haurà tingut una bretxa de seguretat i el més segur és que hagen compromés els comptes de correu de l'Ajuntament de València i les hagen hackejat. Conforme a la normativa de protecció de dades disposes de 72 hores per a notificar una bretxa de seguretat en l'Agència Espanyola de Protecció de Dades (AEPD) sorgint diferents riscos de compliment normatiu que entenc s'hauran abordat convenientment. 

D'altra banda, està per veure la responsabilitat de CaixaBank, a qui l'Ajuntament, de moment, ja li ha reclamat la devolució dels imports, en cas que es demostre que va haver-hi negligència o es van saltar els protocols. Sense perjudici que tot s'està investigant pel Jutjat d'Instrucció núm. 18 i per la Policia Judicial, l'entramat de responsabilitats es va engrandint per moments.

Com previndre aquest tipus de fraus?

Per al INCIBE, la forma més adequada de prevenir seria: “Conscienciar als empleats per a reconéixer-los i evitar-los, tenint especial atenció si utilitzen dispositius mòbils per a llegir el correu. També s'han d'implantar procediments segurs per a realitzar pagaments, de manera que estiga implicada més d'una persona, és a dir que exigisquen doble verificació mitjançant una telefonada al director per a assegurar-se de la veracitat del missatge".

"La primera mesura que hauríem d'adoptar és ser conscients i estar alerta que els delinqüents sofisticaran i evolucionaran l'estafa precisament per a sobreviure"

En relació amb la implantació de procediments, al meu entendre, això estaria molt connectat amb el desenvolupament dels models de prevenció de delictes (compliance penal) que, si bé persegueixen la no comissió de delictes en el si de l'empresa, també serveixen a l'empresa per a evitar ser víctimes atés que la incorporació de determinats protocols i procediments permeten mantenir els nivells de risc molt més baixos.

Al costat de la formació dels empleats i l'elaboració de procediments que permeten un major control de les operatives, estaria l'adopció de mitjans de seguretat apropiats per a evitar que espien els nostres correus electrònics i ser víctimes d'una possible infecció.

En definitiva, ja sabem que estem davant a l'estafa de moda i la primera mesura que hauríem d'adoptar és ser conscients i estar alerta que els delinqüents sofisticaran i evolucionaran l'estafa precisament per a sobreviure.