El juzgado central de instrucción número cinco de la Audiencia Nacional está sobre la pista de la organización que estafó 4,5 millones de euros a diferentes entidades y administraciones públicas catalanas. El sistema utilizado por los estafadores informáticos era suplantar proveedores habituales de la administración catalana y cobrar las facturas. En total, y según el cómputo de los investigadores, han sido 25 las administraciones afectadas: ayuntamientos, consejos comarcales, entidades sanitarias y el Servicio Catalán de Tráfico, entre otros.
De momento, la ofensiva policial y bancaria ha podido recuperar aproximadamente una cuarta parte del importe estafado, pero la Audiencia Nacional todavía investiga. Y la Generalitat ha tenido que reforzar la seguridad con varios tipos de control para evitar estas estafas. El caso és una señal que constata el poco control de seguridad financiera que había en estas administraciones.
El caso ha obligado al Departamento de Presidencia a ordenar a l‘Agencia de Ciberseguridad de Cataluña que remita a todos los departamentos y todos los interventores, así como a administraciones del mundo local, el manual de recomendaciones a través de los portales de seguridad y a todos los responsables de seguridad en la información. Así lo aseguraba la consejera de Presidencia, Laura Vilagrà, en un informe presentado en el Parlamento en diciembre. En este manual, la agencia alerta que este tipo de estafas responden a «ciberataques de ingeniería social tradicional» cada vez «más sofisticados y con una gran capacidad de engaño».
De hecho, el caso que instruye el magistrado Santiago Pedraz se integra en lo que los investigadores definen como «estafa de correo profesional» (
Fingían ser proveedores
La estafa se basaba en recoger información sobre proveedores a través de la plataforma de contratación y suplantar su identidad. Una vez detectado el número de expediente, con la correspondiente adjudicación y los plazos de cobro, los estafadores se comunicaban con la administración deudora con un correo electrónico falsificado, con logotipos y firma, con que informaban que
La alarma dentro de la Generalitat la disparó el Servicio Catalán de Tráfico, organismo autónomo adherido al Departamento de Interior. El marzo del 2021, después de las reclamaciones del proveedor auténtico, se dieron cuenta de que habían abonado dos facturas por un importe de 403.272,44 euros a unos estafadores. Pero la primera señal de aviso la dió el Centro Médico Delfos, que internamente descubrió que una organización se estaba haciendo pasar por el centro sanitario para cobrar y reclamar facturas a la administración. De hecho, los centros sanitarios son uno de los objetivos más habituales de los ciberestafadors, tanto por el secuestro de datos como por los fraudes, a raíz de la cantidad de dinero público que giran por los servicios concertados con el Departamento de Salud. Por ejemplo, en la causa consta una estafa de 498.620 euros en el Hospital de Sant Pau.
De juzgados de instrucción a una macrocausa
El caso del Servicio Catalán de Tráfico lo empezó a instruir el juzgado de instrucción número 30 de Barcelona, pero otros afectados fueron a parar al juzgado 32. Pocas semanas después, la investigación fue a parar a la Audiencia Nacional porque las características, hechos y pistas apuntaban a una trama internacional de ciberestafadors que no solo actuaban en el estado español. La investigación de la Audiencia Nacional busca aclarar el entramado internacional de la red de estafadores, junto con Europol. En este sentido, los analistas intentan descubrir las ramificaciones financieras que tienen montadas para esconder el dinero que se habían apropiado con el engaño a las administraciones.
Pero, más allá de la investigación, la Generalitat, a través de la Agencia Catalana de Ciberseguridad ha tenido que «reforzar» sus actuaciones para evitar más casos como este. Así, tuvo que remitir a todas las administraciones y entidades públicas susceptibles de una estafa similar una
Delimitar los cambios y los responsables
Por otro lado, el gobierno catalán emitió un comunicado a los departamentos y entidades públicas, conjunto de la Intervención General y la Dirección General de Política Financiera, Seguros y Tesoro del Departamento de Economía y Hacienda, con «recomendaciones para actuar con precaución en el tratamiento de los datos bancarios de los acreedores». En este sentido, el ejecutivo ordenó que la «gestión de los datos de terceros», en cualquier administración o servicio que tenga la gestión descentralizada de las propuestas de pago, «necesitan la validación posterior del Departamento de Economía». Es decir, desde la estafa se recuerda que los cambios en los datos de pago tienen que ser validados por la consejería que dirige Natàlia Mas a través de las intervenciones delegadas de la Intervención General en función de su ámbito de actuación.
La intención es evitar que un simple mail cambie el número de cuenta donde abonar facturas de la administración. Otro seguro para intentar poner trabas a los estafadores es que, en cualquier «sustitución de los datos bancarios ya dados de alta y asociados a propuestas de pago que se haga a solicitud de los órganos gestores, habrá que acreditar la petición del tercero afectado». Ahora bien, cuando esta «sustitución de los datos bancarios sea genérica para todos los documentos registrados en el sistema informático, estén o no contabilizados, el órgano encargado de efectuarla es la Subdirección General de Contabilidad del Departamento de Economía y Hacienda». Y, si esta sustitución es específica para determinados documentos contables enviados a un departamento, usando los datos bancarios dados de alta en el archivo único de terceros, el órgano encargado será la Subdirección General de Tesorería del Departamento de Economía y Hacienda.
