Municipal
Así se 'hackeó' la Gerencia de Urbanismo de Córdoba
Un informe desvela fallos organizativos que permitieron el pago indebido de más de 400.000 euros
En abril de 2020, la Gerencia de Urbanismo de Córdoba fue víctima de un hackeo, de una estafa informática. Pagó 428.000 euros que le correspondía a la constructora de la Ronda Norte (Vialex) en una cuenta suministrada por una banda de delincuentes. En estos momentos, hay una persona imputada, una joven modelo de Mijas, y el caso está en los tribunales. De toda la cantidad pagada, una parte, unos 50.000 euros, sigue en manos de los estafadores. Un informe de Intervención ha establecido por primera vez qué falló organizativamente para que la estafa se pudiese llevar a cabo, qué hay que reparar para que algo así no pueda ocurrir de nuevo.
El sistema con el que se estafó es simple y similar al que le ha costado un millón de euros al Ayuntamiento de Sevilla . Hacerse pasar por un representante de la empresa y pedir que, en vez de que se pague la factura en una cuenta, se haga en otra. Eso ocurrió el 25 de febrero de 2020 cuando, en un correo genérico de Urbanismo (urbanismo@gmu.cordoba.es) se recibió un presunto mensaje de Vialex remitido desde la cuenta vialex-constructorasaragonesa@oficinaproveedores.es. Urbanismo contestó al mensaje pidiendo certificado bancario de la nueva cuenta. El día 15 de abril quedó hecho el cambio. Para que esta estafa sea posible, es necesaria una brecha de seguridad. Los estafadores monitorizan que hay pagos a una empresa concreta y es donde actúan para suplantar identidades y cambiar las cuentas corrientes de referencia.
Vialex, la empresa de verdad, mandó la factura correcta en la que aparecía la cuenta corriente buena, la original. Es la que aparecía en el expediente de contratación. La cantidad fue registrada correctamente para lo que hicieron falta tres firmas . El pago se efectuó el 27 de abril. Vialex empezó a llamar días después reclamando el cobro. En Urbanismo no entendían nada porque ya estaba todo pagado. Se destapó el fraude, se denunció a la Policía y se paralizaron las cantidades que no habían volado al Este de Europa desde una cuenta del banco ING.
Los fallos interiores
Hasta ahí la parte conocida. Intervención, sin embargo, ha indagado en qué ocurrió organizativamente para que se pagara una factura tan cuantiosa a quien no era enviando un simple correo electrónico. Los resultados de esa indagación aseguran que se fue víctima de un delito, como parece lógico. También, de un problema organizativo interno que, afirma, debe solventarse para evitar nuevos episodios como éstos.
Intervención asegura que, en primer lugar, se produjo un problema de coordinación. En Urbanismo, el servicio de Economía paga y el de Contratación contrata . Pero afirma que no tienen comunicación entre sí. En el expediente de contratación figuraban todos los datos correctos de la empresa proveedores pero éstos no estaban a disposición de los funcionarios que llevan la gestión de pagos. El informe entiende que, de contar con todos los antedecentes del caso, el cambio de cuenta corriente hubiera sido más complicado.
En segundo lugar, la Gerencia de Urbanismo no tenía en ese momento un modelo de alta, modificación o baja de terceros (ahora tiene el mismo del Ayuntamiento de Córdoba). Se trata de ficheros normalizados donde aparecen los datos bancarios de los proveedores de una institución o empresa. Si funcionan correctamente, permite que solo se abonen las facturas en las cuentas que aparecen ahí y que han sido fehacientemente comprobadas. Según la investigación, ningún funcionario de Urbanismo tenía encomendado llevar ese listado de datos de pagos a terceros. Se llevaba de manera informal por unos y otros.
El sistema informático
Además, el sistema de la Gerencia de Urbanismo se llama SICALWIN y allí es donde se hacen los cambios de cuenta corriente. Intervención explica que cualquier usuario del sistema (y no solo los de Economía) tienen acceso a esos datos. De hecho, cualquier usuario con alta en el sistema puede tener acceso al módulo de terceros y cambiar las cifras de una cuenta corriente «sin que quede rastro».
Intervención dice no entender cómo, siendo conocedores de un fallo de seguridad informática tan relevante, no se tomaron medidas para bloquear el acceso para que solo pudierran entrar una serie de personas a esa parte clave del sistema. El informe pide expresamente que exista un registro exacto de quién tocó qué, cuándo y por qué. SICALWIN puede ser configurado, dice el informe, para crear datos de terceros que tengan que ser confirmados por un segundo funcionario de forma que exista siempre un control. Una especie de pestillo de seguridad contra la introducción de datos erróneos.
Un simple correo
Por último, Intervención llama la atención de un hecho relevante. Un simple correo electrónico y el envío de un certificado bancario simulado dieron pie a un pago de casi medio millón de euros . Es decir, la solicitud nunca entró por registro de entrada, ni llegó por medio de una oficina de Correos diligenciada, ni se aportaron documentos originales de certificación del banco. Fue un sencillo correo remitido a una cuenta genérica.
En adelante, dice Intervención toca hacer varias cosas. La primera es dotar de puestos específicos la gestión contable dada su alta exigencia. El segundo es poner a la Gerencia de Urbanismo bajo la órbita del Órgano de Gestión Económica-Financiera ya que en estos momentos no sucede así. Además, una vez concluya la vía penal, se recomienda abrir una investigación sobre las responasbilidades que pudieran haber tenido los empleados que participaron en el proceso o que no tomaron las decisiones nececesarias para evitar la estafa a Urbanismo .
Noticias relacionadas
