Un año del engaño que dejó un agujero de un millón de euros en el Ayuntamiento de Sevilla

Fuentes oficiales del Consistorio confirmaron a ABC la pasada semana que no se ha producido ninguna novedad en el caso y que la investigación policial sigue abierta. Este periódico fue el que destapó lo que había ocurrido hace un año y a pesar de la importante cantidad de dinero público perdido, no ha habido ningún tipo de repercusión al respecto. Cierto es que el Consistorio capitalino maneja un presupuesto de gasto anual que supera los mil millones de euros y un millón puede suponer un pequeño grano dentro de una montaña. Pero era el dinero que se iba a destinar para iluminar la ciudad por Navidad en el año 2020 y fue necesario sacar ese presupuesto de otras partidas.

El engaño en el que cayó el personal de la Tesorería del Ayuntamiento es el mismo en el que han picado otras administraciones locales. Uno de los casos más sonados afectó al Consistorio de Valencia. Su empresa municipal de transporte perdió unos cuatro millones de euros transfiriendo el dinero a quien no debía.

El fraude consiste en suplantar la identidad de un contratista, solicitando a la administración pública, vía email, que modifique la cuenta de cargo que va asociada al contrato de licitación y donde se deben hacer los pagos por el servicio prestado. En el caso del Ayuntamiento de Sevilla, el personal de Tesorería realizó tres transferencias a una cuenta controlada por los delincuentes un total de 962.797 euros. Se trataba del presupuesto global por el montaje del alumbrado de Navidad de 2020.

Cuando saltó la noticia, desde el Consistorio subrayaron a este medio que no se había producido ninguna falla en los sistemas de seguridad municipales y remitían el origen del problema a la empresa contratista a la que habían hackeado sus correos electrónicos. Y es que los piratas habían consiguieron acceder a las comunicaciones de la citada empresa con el Consistorio y a través de la instalación de un malware (programa malicioso) pudo interceptar los emails de este proveedor del sector de la electricidad y modificar el contenido de algunos de ellos. A la Tesorería del Ayuntamiento llegó uno de esos correos infectados en el que el remitente informaba al personal municipal que habían cambiado de cuenta e indicaban el nuevo número donde se debía hacer el ingreso; además remitían una certificación bancaria que después se demostraría que era falsa. Los delincuentes, al monitorizar las comunicaciones de la empresa, supo cuándo debían remitir esa comunicación, la cual tenía que coincidir con el momento en el que se debía abonar el contrato ejecutado.

Los piratas se hicieron pasar por personal de la empresa Elecfes, una firma murciana que lleva años realizando el montaje de las luces de Navidad. Este serio contratiempo no ha puesto fin a su relación con el consistorio hispalense porque al año siguiente (2021) se hizo con el mismo contrato y con un presupuesto mayor. Según la información facilitada por el Ayuntamiento. Se adjudicó el montaje por un coste de 1.022.087 euros (IVA incluido). Un desembolso que supuso un 6,5 por ciento superior al de 2020, que fue el afectado por el fraude que se había gestado en la red.

Esta próxima Navidad, Elecfes será previsiblemente la que se encargue también del alumbrado navideño. En julio salía a licitación el contrato. El plazo de presentación de ofertas concluía el pasado 28 de julio. Según consta en la plataforma de contratación del sector público, donde se pueden consultar todos los contratos que realizan las administraciones, el 29 de julio se procedió a abrir las ofertas que se habían presentado para hacerse con la instalación del alumbrado navideño en la capital. Sólo se había presentado Elefecs. La mesa de contratación ha dado por buena la propuesta presentada por la firma murciana. Este año, además, ese contrato ha vuelto a incrementar su partida presupuestaria hasta 1,2 millón de euros. El aumento se justifica por el encarecimiento de los materiales en un periodo de fuerte inflación.

Si no hubo consecuencias en la relación entre la empresa adjudicataria y el Consistorio, tampoco la ha habido en la plantilla municipal. Fuentes de los trabajadores han confirmado a este periódico que no se han implementado nuevas medidas para reforzar la vigilancia y mejorar el tratamiento de la información con el fin de evitar fraudes de este tipo que tanto han proliferado en los últimos años.

Hace unos meses, este periódico entrevistó a un hacker que había reorganizado su carrera profesional hacia el asesoramiento a empresas y administraciones para mejorar su ciberseguridad. Una asignatura pendiente en este país, a su juicio.

Una de las primeras advertencias que hacía este experto tiene que ver con un problema extendido en las administraciones públicas españolas como es la falta de concienciación de lo prioritario que debe ser la protección frente a las amenazas informáticas. Este hacker realiza auditorías para comprobar el estado de los sistemas informáticos de ayuntamientos y en su día a día se ha encontrado con servidores sin apenas protección o cómo se guardaba en carpetas compartidas información sensible y confidencial como las nóminas de los empleados. «España es un gran campo de prueba para los delincuentes porque hay muchísima gente conectada a internet con una nula formación en ciberseguridad».

Ése es el escenario que han aprovechado los delincuentes informáticos para saquear las arcas públicas de entidades públicas con un mismo tipo de fraude.

Tanto Guardia Civil como Policía Nacional mantienen abiertas investigaciones por todo el país para dar con estos piratas. Pero son pesquisas muy complicadas porque estos delincuentes suelen valerse de 'mulas' –intermediarios– a los que pagan para que sean los titulares de las cuentas donde se abonan los fondos inicialmente y donde permanecen un corto periodo de tiempo hasta que se transfieren a cuentas que normalmente ya se alojan fuera de España, complicando el rastreo del dinero.

El caso del Ayuntamiento de Sevilla lo lleva la Policía Nacional, que fue la que recibió la denuncia en agosto del año pasado y en la que sigue trabajando hasta la fecha. No son los únicos enfrascados en estos fraudes telemáticos.

El pasado mes de junio, dos sevillanos caían en manos de la Policía Foral de Navarra. Se les relaciona con una estafa de 44.000 euros a una empresa de aquella zona, que había remitió una factura a su cliente mediante un correo electrónico que fue interceptado por los piratas. Estos se hicieron con esa comunicación y modificaron el número de cuenta en la que se debía realizar el pago para redirigirlo a una cuenta controlada por ellos. El fraude se destapó cuando el cliente reclamó el pago de la factura. Este engaño, bautizado con el nombre de man in the middle, está siendo un quebradero de cabeza no sólo para las administraciones.