• Publicidad
  • Boletín Gratis
  • Hazte Socio
Confidencial Digital Confidencial Digital
La web de las personas informadas que desean estar más informadas
Buscar
Secciones
Síguenos

La “estafa del CEO”, un sofisticado delito que cada día va a más en España

La Policía investiga más de un centenar de casos y ha puesto en marcha una unidad especializada. Una empleada de la EMT de Valencia, condenada a pagar 4 millones

Redacción
06/01/24 | 0:00 | Tiempo de lectura: 9 min.
Etiquetas:
Banco Empresa Fraude estafa Policia Nacional Ciberseguridad
  1. No se lucró
  2. Llamadas y correos
  3. Desde Hong Kong
  4. CaixaBank
  5. Más de un centenar de estafas
  6. Un directivo
  7. Discreción
  8. Pocas detenciones
  9. Plantilla reforzada
  10. Responsabilidad de los bancos

Según datos del Ministerio del Interior, los ciberdelitos aumentaron un 72% el año pasado respecto al anterior, y actualmente uno de cada cinco delitos que se registran en España se cometen en la red. Y uno de los más sofisticados delitos, que va a más, es la llamada “estafa del CEO”.

El Tribunal de Cuentas rechazó a finales de mayo el recurso de Celia Zafra, extrabajadora de la Empresa Municipal de Transportes (EMT) de Valencia, y ratificó la condena como responsable del fraude ocurrido entre el 3 y el 23 de septiembre de 2019, una de las mayores estafas cibernéticas sufridas por una empresa pública en España, que ocasionó un daño económico de 4 millones de euros.

No se lucró

Zafra es la única imputada por los hechos, pero ninguno de los informes del caso, ni los testimonios de los trabajadores de la empresa pública y del banco que autorizó los pagos a China, apuntan a que se lucrase con la estafa.

Sin embargo, el tribunal consideró que existe “una responsabilidad contable directa” de la entonces jefa y directora del negociado de administración, que deberá reintegrar a la empresa municipal 4,054 millones, más los intereses, por considerar que actuó de forma “gravemente negligente” y “asumió funciones que correspondían a otros cargos directivos de la sociedad sin tener atribuidas las competencias”.

Además del riesgo de ser condenada a prisión, se encuentra en una situación personal muy complicada, porque le han embargado sus bienes inmuebles para hacer frente a esos más de 4 millones de euros que fueron robados a la EMT.

Llamadas y correos

Utilizando el sistema conocido como “la estafa del CEO”, la funcionaria fue engañada mediante llamadas telefónicas y correos por unos delincuentes internacionales, que se hacían pasar por abogados de una conocida consultora y por el propio presidente de la EMT y concejal de Transportes del Ayuntamiento, Giuseppe Grezzi, para que autorizara unos pagos y transferencias.

Los autores orquestaron una red de sociedades extranjeras con el fin de ocultar el rastro del dinero, que, por tanto, no ha sido localizado.

La EMT planteó el asunto ante la Justicia, y Zafra fue despedida, a pesar de llevar 38 años como empleada y contar con una hoja de servicios intachable, si bien no tenía formación concreta sobre contabilidad. Según declaró a la prensa local, “sólo nos daban cursillos de Word y de Excel”.

Desde Hong Kong

Una de las magistradas del Tribunal de Cuentas, María del Rosario García Álvarez, emitió un voto particular a favor de la absolución, por entender que Zafra fue objeto de un engaño por parte de los verdaderos delincuentes, con sede en Hong Kong, que la manipularon.

 

Al haber sido engañada y no actuar de forma dolosa, no sería responsable del fraude, sino más bien los estafadores de Hong Kong. Y también la entidad bancaria, que autorizó los pagos que conformaron el fraude, en este caso CaixaBank, que habría facilitado, presuntamente, que se concretase y materializase el robo debido a una supuesta negligencia en la custodia de los caudales de la EMT.

CaixaBank

La EMT defendió desde el principio que CaixaBank era responsable indirecta del fraude, y, si se quiere, presuntamente colaboradora indirecta, por lo que solicita que se le indemnice por una presunta práctica bancaria errática.

La sentencia declara no responsable a CaixaBank, pero el voto particular dice lo contrario, atribuyendo a la entidad no haber aplicado los mecanismos de seguridad para evitar que se robara el dinero de las cuentas.

El Juzgado de Instrucción número 18 de Valencia libró comisiones rogatorias a China, Israel, Kenia, Estados Unidos e Irlanda, países por los que pasó el dinero, sin haber recibido ninguna información sobre su paradero.

Personal trabajando en una oficina.
Personal trabajando en una oficina.

Más de un centenar de estafas

La ‘estafa del CEO’ sigue siendo actual, también por el elevado número de casos denunciados. La Policía investiga más de un centenar, y utilizó Twitter para alertar sobre este fraude recurrente, que se detectó ya en 2017. El INCIBE (Instituto Nacional de Ciberseguridad) lleva tiempo advirtiendo de su existencia.

El modus operandi es muy elaborado. Los estafadores eligen una empresa, e identifican un organigrama que les permita conocer los puestos de trabajo y conseguir el contacto de alguno de los empleados.

El siguiente paso es contactar con un trabajador con cualquier solicitud, como pedir información de algún producto, con el objeto de obtener un correo legítimo de la empresa para tomarlo como plantilla. Acto seguido, los estafadores desarrollan la técnica llamada cybersquatting, que consiste en comprar un dominio similar al de la empresa que desean suplantar, sustituyendo pequeños aspectos del nombre como una letra o un punto.

Un directivo

Así, con la estética del correo, con la identidad del alto directivo al que suplantar, localizado el empleado con capacidad para hacer operaciones financieras, y teniendo registrados los dominios fraudulentos, envían el mensaje falso.

Los estafadores se hacen pasar por ese superior de su empresa. Los correos tienen habitualmente un aspecto corporativo y resultan creíbles para los empleados. En el mensaje se informa de que se va a realizar “una operación financiera confidencial”, de la que deberá hacerse cargo el empleado. “¿Puedes atenderme esta tarde con prioridad?”, añade habitualmente el texto.

Buscan personas que no tienen trato directo con el CEO, e incluso que no lo conocen personalmente, y las primeras instrucciones son sencillas, a la vez que felicitan al empleado por su eficacia.

Discreción

Después, se pide el “saldo de las cuentas corrientes a día de hoy”, además de plantear la “necesidad” de unos movimientos bancarios urgentes por parte del empleado. “¿Puedo contar con tu entera colaboración y discreción? Es un asunto muy sensible de momento”, concluye el mensaje, con intención de evitar que el trabajador consulte a su CEO real sobre esas operaciones.

El fraude no acaba en un único cobro de la cuenta bancaria que proporcionarían los empleados engañados: continúan solicitando nuevas transferencias hasta que la víctima se da cuenta.

El dinero, en cuanto se abona, desaparece por una maraña de cuentas en todo el mundo, y el empleado acaba procesado porque ha “desaparecido” dinero de la empresa

Cuenta el INCIBE el caso de Alicia, empleada de una farmacéutica, que fue engañada en 2021 aprovechando la situación de la vacunación del Covid-19. Realizó varias transferencias de los fondos de la empresa, hasta que habló con su CEO sobre una falta de liquidez como consecuencia de estos pagos. Así se percataron del engaño.

Pocas detenciones

El modus operandi de los estafadores es cuidado, lleva largo tiempo de preparación, y a veces cuentan con la colaboración de algún nacional.

En diciembre de 2022, la policía desarticuló a un grupo criminal que desarrollaba el “fraude del CEO” a nivel nacional e internacional. Fueron detenidas 15 personas, y se descubrió que se habían blanqueado 850.000 euros de transferencias fraudulentas.

Sin embargo, las detenciones son escasas, debido a que los delincuentes suelen actuar desde fuera de España, como en el caso de la EMT de Valencia.

Plantilla reforzada

La proliferación de casos, la elevada cuantía de algunas de las estafas, y la sofisticación de estos procesos, ha llevado a la Policía Nacional a implementar la plantilla de funcionarios dedicados a combatir la “estafa del CEO”.

Se da también el caso de alguna empresa que no ha contado nada, para no provocar escándalo, o incluso para evitar que lo ocurrido llegue a conocimiento de los fondos que la controlan.

Responsabilidad de los bancos

Aunque la sentencia del Tribunal de Cuentas exime a CaixaBank de toda responsabilidad, la magistrada María del Rosario García Álvarez apunta a la entidad bancaria, y su voto particular va a permitir al abogado de Celia Zafra a presentar recurso ante el Supremo.

Fuentes cercanas al Tribunal Supremo, a las que ha tenido acceso Confidencial Digital, apuntan que la implicación de CaixaBank parece clara, porque la responsabilidad de custodiar los fondos de sus clientes es de la entidad bancaria. Por así decirlo -explican- a quien le han timado no es a Celia Zafra, ni a la EMT de Valencia, sino a CaixaBank.

Se da la circunstancia de que la orden falsa de transferencia se envió en primer lugar a Bankia, que no la tramitó porque eran casi las dos de la tarde y respondieron que ya no estaban activos. Posteriormente, Bankia, en uno de sus boletines, presumió de que no había realizado el pago porque detectó una irregularidad. Sin embargo, en ese momento no dio ningún aviso a la empresa.

Etiquetas:
Banco Empresa Fraude estafa Policia Nacional Ciberseguridad

Video del día

Detenida en Madrid una kamikaze borracha y
con un kilo de cocaína en el maletero
Más en Dinero
Portada
Comentarios
Envíanos tus noticias
Si conoces o tienes alguna pista en relación con una noticia, no dudes en hacérnosla llegar a través de cualquiera de las siguientes vías. Si así lo desea, tu identidad permanecerá en el anonimato
Enviar una noticia