El Cabildo de Tenerife ha hecho público este viernes que las entidades públicas Metropolitano de Tenerife, Titsa, el Instituto Insular de Atención Social y Sociosanitaria (IASS) y Baltén fueron víctimas de una estafa a través del phishing, una forma de engaño que se basa en el envío de correos electrónicos simulando ser una fuente de confianza, que alcanzó los 818.332 euros. Los fraudes se cometieron entre 2020 y 2022, según se ha informado en una comparecencia en el pleno del Cabildo de Tenerife celebrado este viernes.
Los ciberdelincuentes se valieron de los datos de proveedores de las cuatro entidades públicas para generar confianza en los trabajadores públicos, engañarles y redireccionar los pagos a sus cuentas. La cuantía defraudada se divide de manera que para Titsa alcanzó los 194.634,30 euros, para Metropolitano los 97.526,50 euros, para Baltén 226.100,26 y, la mayor cuantía es la del IASS que alcanzó los 300.071,85.
Fraude a las cinco entidades
Los hechos se produjeron entre 2020 y 2022. El primero de los fraude lo sufrió Metropolitano el 25 de marzo de 2020, según el Cabildo de Tenerife el 29 de abril de 2020 se denunció en Italia, ya que la entidad suplantada radica en este país, y, en España la denuncia se presentó el 17 de junio. El fraude de Titsa se produjo entre julio y agosto de 2022 y la denuncia se hizo el 7 de septiembre de 2022 en la Policía Nacional, dos días después de notificarse.
Entre agosto y septiembre de 2022 sufrió el fraude Baltén. Según el Gobierno Insular, la denuncia se interpuso el 27 de septiembre de 2022 ante la Policía Nacional, 12 días después conocersee. Al respecto de la estafa al IASS, esta se produjo entre septiembre y noviembre y se puso en conocimiento el 10 de noviembre de 2022 ante la Policía Nacional.
Modus operandi
Los ciberdelincuentes se hicieron pasar por empresas que mantenían una relación comercial con las instituciones del Cabildo. En el caso de Baltén simularon ser de la energética Endesa, en la estafa del IASS suplantaron ser de Lavanderías Canarias, en Titsa fingieron ser de Scania y en Metropolitano simularon ser la empresa italiana Mecno Service.
La confianza generada entre los trabajadores públicos y los estafadores ha sido la principal baza en la que se han apoyado los ciberdelincuentes. Fueron semanas de contactos e intercambio de información, incluso llamadas telefónicas, donde la veracidad de los datos aportados y la forma de actuar hizo pensar a los profesionales públicos que se estaban dirigiendo a responsables de las empresas proveedoras. Estos contactos culminaron con el engaño en la apertura de una nueva cuenta bancaria a la que las empresas públicas debían comenzar a redireccionar los pagos.
La responsabilidad
En la comparecencia ha sido especialmente destacado el dato de cuándo se notificó al consejo de administración en el caso de la empresa Metropolitano. El gerente de la empresa, que por aquel entonces era Andrés Muñoz, actual director del proyecto de Cuna del Alma, tardó un año en notificar la estafa a la cúpula administrativa un hecho que ya se llevó al pleno en noviembre. No se pudo iniciar ningún procedimiento sancionador contra Muñoz porque pocas semanas después abandonó el cargo.
Esta cuestión ha sido especialmente criticada por la consejera no adscrita y ex de Sí Podemos, María José Belda, así como por el consejero de Sí Podemos, David Carballo, quienes han pedido responsabilidades. Carballo, además, ha demandado un informe de los servicios jurídicos del Cabildo para estudiar las responsabilidades penales y el tipo de perjuicios que pudo generar para la empresa que se notificara del fraude un año después de denunciarse.
En este sentido, por parte de Belda, Carballo y la consejera del PP Zaida González han resaltado sus dudas acerca de los procedimientos a seguir sobre la forma de responsabilizar a los trabajadores. En el caso de Baltén, por ejemplo, se abrió un “expediente informativo” a una trabajadora, al igual que en el caso de Titsa a varios trabajadores. Aunque, al respecto, el consejero y responsable del área que afecta a dos estafas, Enrique Arriaga (Ciudadanos), ha asegurado que los expedientes abiertos son informativos y no disciplinarios. Un hecho ratificado por el secretario del Cabildo quien tras ser preguntado por Belda, ha informado al respecto que, por el momento, y a la espera de los resultados de las instrucciones tanto en el Cabildo como en sede judicial, no se ha incoado expediente disciplinario a ningún trabajador.
Belda ha sido la que más crítica se ha mostrado y ha resaltado que la responsabilidad sea de los gerentes de la empresa y las personas responsables de estas áreas. A este respecto Arriaga le ha aconsejado no ser juez y parte y seguir lo que dicen las autoridades judiciales. Misma opinión que mantienen desde el PSOE donde han asegurado que sería imprudente señalar “al responsable político de turno o al gerente”. Por el momento, los cuatro casos están bajo investigación judicial y "los verdaderos responsables", inciden desde el partido socialista, son os ciberdelincuentes.
Más formación
A raíz de esta estafa de cientos de miles de euros el presidente del Cabildo ha resaltado que los trabajadores públicos comenzarán a potenciar su formación al respecto de la elaborada táctica de phishing de los ciberdelincuentes, que en lo últimos años ha afectado a administraciones de todos los rincones del mundo al valerse de la confianza humana. Por ello, se está indiciendo en formación para que los trabajadores desconfíen de los correos sospechosos y verifiquen la identidad de los remitentes.
Además, desde el Cabildo, se está apostando por que los mecanismos de verificación de pagos y de proveedores deberán estar cada vez más orientados a dificultar que una única persona pueda modificar de manera autónoma la información contable y de pagos, sin realizar un conjunto de verificaciones previas. Así como disponer de medidas de seguridad en los propios correos de los trabajadores.
El Cabildo de Tenerife, según ha informado el consejero socialista Javier Rodríguez, recibe cada semana unos 100.000 ataques informáticos, por ello ha destacado que los muros de ciberseguridad de las administraciones públicas sí que funcionan y evitan un daño mayor.