Así se gestó el fraude del millón de euros al Ayuntamiento de Sevilla

Se ha cumplido un mes desde que el Ayuntamiento de Sevilla detectara que había sido estafado por piratas informáticos. Los ciberdelincuentes lograron usurpar la identidad de la compañía adjudicataria del contrato de las luces de Navidad del año pasado. A través de un correo electrónico haciéndose pasar por la empresa, solicitaron el cambio de cuenta donde la Tesorería municipal debía ingresar el pago por el servicio prestado. Y de esa manera voló casi un millón de euros de las arcas públicas.

«La falta de una cultura en la seguridad informática es clave en este tipo de fraudes. El correo electrónico de la empresa pudo haber sido comprometido, pero al final el personal del Ayuntamiento no supo detectar que algo no iba bien cuando recibieron el correo de los ciberdelincuentes. No hay protocolos». Como los criminales a los que se enfrenta, este hacker ético tiene que ocultar su identidad para poder seguir ejerciendo como asesor de compañías y entidades públicas en materia de ciberseguridad. A él acuden para que ejerza de intermediario cuando se produce un secuestro de información a través de un ransomware o necesitan localizar en tiempo récord la falla en los sistemas informáticos que han comprometido el trabajo de una corporación, exponiéndose a sus competidores.

ABC lo entrevista para conocer las claves de un fraude informático que le va a costar muy caro al Consistorio sevillano. La primera de ella, advierte este experto, tiene que ver con un problema extendido en las administraciones públicas españolas como es la falta de concienciación de lo prioritario que debe ser la protección frente a las amenazas informáticas.

La importancia de blindarse ante el cibercrimen es la base del Esquema Nacional de Seguridad (ENS), un marco normativo regulado por real decreto desde 2010, que surge a partir de una ley de 2007 sobre el acceso electrónico de los ciudadanos a los servicios públicos. El ENS recoge un certificado para aquellas administraciones, entidades y empresas que han establecido una política de seguridad y las condiciones de confianza en el uso de medios electrónicos. A día de hoy, sólo nueve ayuntamientos españoles cuentan con ese certificado y entre ellos no está el de Sevilla. «Cuando se trata de implantar unos protocolos para evitar ser víctimas del cibercrimen en las administraciones públicas, los especialistas nos encontramos con varios problemas: los obstáculos burocráticos, definir quién asume la responsabilidad en caso de fallos y la falta de formación de los empleados para establecer protocolos que les sirva para prevenir posibles ataques».

«España es un gran campo de prueba para los delincuentes porque hay muchísima gente conectada a internet con una nula formación en ciberseguridad»

Este hacker realiza auditorías para comprobar el estado de los sistemas informáticos de ayuntamientos y en su día a día se ha encontrado con servidores sin apenas protección o cómo se guardaba en carpetas compartidas información sensible y confidencial como las nóminas de los empleados. «España es un gran campo de prueba para los delincuentes porque hay muchísima gente conectada a internet con una nula formación en ciberseguridad».

Los ejecutivos, en la diana
La estafa que ha volatilizado de las cuentas del Ayuntamiento un millón de euros es una versión del fraude del CEO, un tipo de engaño que lleva más de tres años funcionando en este país y que tiene su origen en el timo de las cartas nigerianas. Una persona recibe un correo electrónico con la promesa de que va a ganar una importante suma de dinero pero previamente debe realizar algún tipo de ingreso para obtenerla.

¿Pero cómo se evolucionó de aquel engaño rudimentario a un fraude en el que han caído ayuntamientos y empresas públicas como la que gestiona el transporte público en la ciudad de Valencia que ha llegado a perder hasta cuatro millones de euros?. «Los ciberdelincuentes pusieron sus miradas en los altos ejecutivos de grandes compañías. Es un perfil que viaja mucho y se aloja con cierta frecuencia en hoteles. Allí suelen usar las redes wifi para consultar, por ejemplo, sus correos corporativos. Y esas redes no suelen ser fiables. A través de esa puerta pudieron acceder a los correos, monitorizarlos e interceptarlos para después suplantarlos».

Los piratas se hicieron con el cobro del contrato de la luz de Navidad en Sevilla

ABC
Gracias a esa maniobra han podido llegar a las administraciones con las que tienen tratos esas empresas. Los piratas intervienen cuando saben que hay pendiente el pago de algún contrato para solicitar un cambio en el número de cuenta y redirigir los fondos a una que ellos controlan. Aquí es donde el Ayuntamiento de Sevilla responsabiliza de lo ocurrido al ataque sufrido por la contratista, la firma murciana Elecfes. Sus correos fueron suplantados y uno de ellos llegó a la Tesorería municipal informando de donde se debían abonar 962.797 euros por el montaje del alumbrado de la Navidad de 2020. Fuentes municipales explicaron ABC que esa comunicación fraudulenta iba acompañada de un certificado bancario que resultó ser falso, lo que hizo que el trabajador que recepcionó ese correo no sospechara.

Sólo nueve corporaciones locales (Sevilla no está entre ellas) han sido certificadas tal y como recoge el Esquema Nacional de Seguridad (ENS), una estrategia nacional aprobada en 2010 por real decreto para blindarse del cibercrimen

Para este hacker bueno, que además ha ejercicio de perito forense, no está tan clara la responsabilidad de uno u otro. «Los piratas pudieron actuar desde un servidor falso suplantando la cuenta de correo de la empresa, ¿pero hasta qué punto se adoptaron todas las medidas para verificar que ese correo que había llegado y que pedía algo tan sensible no era falso? La cuestión no es fácil y el Ayuntamiento puede agarrarse a la opción de que ya pagó el contrato al número aportado por la empresa y que es ésta la que tuvo la brecha de seguridad para negarse a volver a abonar el contrato». Son más de una docena los ayuntamientos que en los últimos meses han picado en el anzuelo de los delincuentes librando fondos que debían haber ido a parar a sus contratistas.

Su experiencia le dice que va a ser muy difícil que el Ayuntamiento hispalense recupere el dinero. El rastro de los ciberdelincuentes se pierde en la cuenta que abrió una tercera persona, a la que le prometieron un dinero por poner su nombre, pero que está al margen de la estafa. Al poco de transferirse los fondos, estos salen con destino a cuentas extranjeras. «La Policía está a años luz de estos delincuentes. Detrás de estas estafas hay toda una industria que opera en la deep web y que está en constante evolución. Son como grandes corporaciones internacionales que subcontratan a empresas legales el diseño de malware o que pagan a empleados de determinada compañía para que sean ellos mismos los que infecten los sistemas informáticos de su empresa. Es una gran mafia internacional que opera en la sombra».

Más de 9.600 delitos en la red se denunciaron en Sevilla en 2020
El Ministerio del Interior ha presentado hace escasos días el último informe sobre cibercriminalidad relativo al año 2020. El estudio elaborado a partir de las denuncias formuladas y las operaciones policiales ejecutadas confirma cómo la pandemia ha dado un certero empujón a este tipo de delitos cometidos en internet. Los confinamientos llevaron a la población a pasar más horas delante de los dispositivos electrónicos. Aumentó el teletrabajo y las compras por internet, unas circunstancias globales que aprovecharon los hackers para incrementar sus ataques.

Sevilla ha sido la sexta provincia española donde más denuncias se formularon (9.630). Este tipo de delincuencia va ganando peso frente a la clásica. Según el Estudio sobre Cibercriminalidad en España, si en 2016 la delincuencia que vive en la red suponía el 4,6% del total de hechos denunciados; cuatro años después ya está por encima del 16%. En 2020, se ha conocido un total de 287.963 hechos, lo que supone un 31,9% más con respecto al año anterior. El fraude informático fue el delito más común, ya que supuso cerca del 90% de las denuncias investigadas por los cuerpos policiales.

El Instituto Nacional de Ciberseguridad gestionó 133.155 incidentes de ciberseguridad en España, siendo los más frecuentes los de tipo malware, que son programas maliciosos que sirven para robar la información de los sistemas informáticos infectados.Se ha cumplido un mes desde que el Ayuntamiento de Sevilla detectara que había sido estafado por piratas informáticos. Los ciberdelincuentes lograron usurpar la identidad de la compañía adjudicataria del contrato de las luces de Navidad del año pasado. A través de un correo electrónico haciéndose pasar por la empresa, solicitaron el cambio de cuenta donde la Tesorería municipal debía ingresar el pago por el servicio prestado. Y de esa manera voló casi un millón de euros de las arcas públicas.

«La falta de una cultura en la seguridad informática es clave en este tipo de fraudes. El correo electrónico de la empresa pudo haber sido comprometido, pero al final el personal del Ayuntamiento no supo detectar que algo no iba bien cuando recibieron el correo de los ciberdelincuentes. No hay protocolos». Como los criminales a los que se enfrenta, este hacker ético tiene que ocultar su identidad para poder seguir ejerciendo como asesor de compañías y entidades públicas en materia de ciberseguridad. A él acuden para que ejerza de intermediario cuando se produce un secuestro de información a través de un ransomware o necesitan localizar en tiempo récord la falla en los sistemas informáticos que han comprometido el trabajo de una corporación, exponiéndose a sus competidores.

ABC lo entrevista para conocer las claves de un fraude informático que le va a costar muy caro al Consistorio sevillano. La primera de ella, advierte este experto, tiene que ver con un problema extendido en las administraciones públicas españolas como es la falta de concienciación de lo prioritario que debe ser la protección frente a las amenazas informáticas.

La importancia de blindarse ante el cibercrimen es la base del Esquema Nacional de Seguridad (ENS), un marco normativo regulado por real decreto desde 2010, que surge a partir de una ley de 2007 sobre el acceso electrónico de los ciudadanos a los servicios públicos. El ENS recoge un certificado para aquellas administraciones, entidades y empresas que han establecido una política de seguridad y las condiciones de confianza en el uso de medios electrónicos. A día de hoy, sólo nueve ayuntamientos españoles cuentan con ese certificado y entre ellos no está el de Sevilla. «Cuando se trata de implantar unos protocolos para evitar ser víctimas del cibercrimen en las administraciones públicas, los especialistas nos encontramos con varios problemas: los obstáculos burocráticos, definir quién asume la responsabilidad en caso de fallos y la falta de formación de los empleados para establecer protocolos que les sirva para prevenir posibles ataques».

«España es un gran campo de prueba para los delincuentes porque hay muchísima gente conectada a internet con una nula formación en ciberseguridad»

Este hacker realiza auditorías para comprobar el estado de los sistemas informáticos de ayuntamientos y en su día a día se ha encontrado con servidores sin apenas protección o cómo se guardaba en carpetas compartidas información sensible y confidencial como las nóminas de los empleados. «España es un gran campo de prueba para los delincuentes porque hay muchísima gente conectada a internet con una nula formación en ciberseguridad».

Los ejecutivos, en la diana
La estafa que ha volatilizado de las cuentas del Ayuntamiento un millón de euros es una versión del fraude del CEO, un tipo de engaño que lleva más de tres años funcionando en este país y que tiene su origen en el timo de las cartas nigerianas. Una persona recibe un correo electrónico con la promesa de que va a ganar una importante suma de dinero pero previamente debe realizar algún tipo de ingreso para obtenerla.

¿Pero cómo se evolucionó de aquel engaño rudimentario a un fraude en el que han caído ayuntamientos y empresas públicas como la que gestiona el transporte público en la ciudad de Valencia que ha llegado a perder hasta cuatro millones de euros?. «Los ciberdelincuentes pusieron sus miradas en los altos ejecutivos de grandes compañías. Es un perfil que viaja mucho y se aloja con cierta frecuencia en hoteles. Allí suelen usar las redes wifi para consultar, por ejemplo, sus correos corporativos. Y esas redes no suelen ser fiables. A través de esa puerta pudieron acceder a los correos, monitorizarlos e interceptarlos para después suplantarlos».

Los piratas se hicieron con el cobro del contrato de la luz de Navidad en Sevilla

ABC
Gracias a esa maniobra han podido llegar a las administraciones con las que tienen tratos esas empresas. Los piratas intervienen cuando saben que hay pendiente el pago de algún contrato para solicitar un cambio en el número de cuenta y redirigir los fondos a una que ellos controlan. Aquí es donde el Ayuntamiento de Sevilla responsabiliza de lo ocurrido al ataque sufrido por la contratista, la firma murciana Elecfes. Sus correos fueron suplantados y uno de ellos llegó a la Tesorería municipal informando de donde se debían abonar 962.797 euros por el montaje del alumbrado de la Navidad de 2020. Fuentes municipales explicaron ABC que esa comunicación fraudulenta iba acompañada de un certificado bancario que resultó ser falso, lo que hizo que el trabajador que recepcionó ese correo no sospechara.

Sólo nueve corporaciones locales (Sevilla no está entre ellas) han sido certificadas tal y como recoge el Esquema Nacional de Seguridad (ENS), una estrategia nacional aprobada en 2010 por real decreto para blindarse del cibercrimen

Para este hacker bueno, que además ha ejercicio de perito forense, no está tan clara la responsabilidad de uno u otro. «Los piratas pudieron actuar desde un servidor falso suplantando la cuenta de correo de la empresa, ¿pero hasta qué punto se adoptaron todas las medidas para verificar que ese correo que había llegado y que pedía algo tan sensible no era falso? La cuestión no es fácil y el Ayuntamiento puede agarrarse a la opción de que ya pagó el contrato al número aportado por la empresa y que es ésta la que tuvo la brecha de seguridad para negarse a volver a abonar el contrato». Son más de una docena los ayuntamientos que en los últimos meses han picado en el anzuelo de los delincuentes librando fondos que debían haber ido a parar a sus contratistas.

Su experiencia le dice que va a ser muy difícil que el Ayuntamiento hispalense recupere el dinero. El rastro de los ciberdelincuentes se pierde en la cuenta que abrió una tercera persona, a la que le prometieron un dinero por poner su nombre, pero que está al margen de la estafa. Al poco de transferirse los fondos, estos salen con destino a cuentas extranjeras. «La Policía está a años luz de estos delincuentes. Detrás de estas estafas hay toda una industria que opera en la deep web y que está en constante evolución. Son como grandes corporaciones internacionales que subcontratan a empresas legales el diseño de malware o que pagan a empleados de determinada compañía para que sean ellos mismos los que infecten los sistemas informáticos de su empresa. Es una gran mafia internacional que opera en la sombra».

Más de 9.600 delitos en la red se denunciaron en Sevilla en 2020
El Ministerio del Interior ha presentado hace escasos días el último informe sobre cibercriminalidad relativo al año 2020. El estudio elaborado a partir de las denuncias formuladas y las operaciones policiales ejecutadas confirma cómo la pandemia ha dado un certero empujón a este tipo de delitos cometidos en internet. Los confinamientos llevaron a la población a pasar más horas delante de los dispositivos electrónicos. Aumentó el teletrabajo y las compras por internet, unas circunstancias globales que aprovecharon los hackers para incrementar sus ataques.

Sevilla ha sido la sexta provincia española donde más denuncias se formularon (9.630). Este tipo de delincuencia va ganando peso frente a la clásica. Según el Estudio sobre Cibercriminalidad en España, si en 2016 la delincuencia que vive en la red suponía el 4,6% del total de hechos denunciados; cuatro años después ya está por encima del 16%. En 2020, se ha conocido un total de 287.963 hechos, lo que supone un 31,9% más con respecto al año anterior. El fraude informático fue el delito más común, ya que supuso cerca del 90% de las denuncias investigadas por los cuerpos policiales.

El Instituto Nacional de Ciberseguridad gestionó 133.155 incidentes de ciberseguridad en España, siendo los más frecuentes los de tipo malware, que son programas maliciosos que sirven para robar la información de los sistemas informáticos infectados.

Deja un comentario