Piratas informáticos estafan 350.000€ al Instituto de Informática de Barcelona haciendo creer que eran a un proveedor real

Unos piratas informáticos estafaron 350.000 euros al Instituto Municipal de Informática (IMI) de Barcelona a finales del 2021 haciendo creer que eran a un proveedor real. Según ha informado 'La Vanguardia' y ha confirmado la ACN, los estafadores enviaron un correo electrónico donde se identificaban como la empresa Sistemas Informáticos Abiertos, un proveedor real del consistorio, diciendo que querían recibir los pagos del ayuntamiento en una nueva cuenta corriente, que adjuntaban. A pesar de seguir el protocolo de cambio de cuenta, el IMI no detectó la falsa identidad de los estafadores y abonó en la cuenta gestionada por los estafadores los pagos que tenía pendientes. El consistorio ha revisado y ha cambiado los protocolos. Este viernes el pleno municipal ha aprobado que se pague al proveedor real.

Un certificado falso

La estafa se basó en la presentación de un certificado bancario falso. Cuando en diciembre, los estafadores se hicieron pasar por Sistema Informáticos Abiertos y dijeron al ayuntamiento que querían cobrar los pagos en una nueva cuenta corriente, el consistorio los pidió, siguiendo los protocolos, que enviaran un certificado que demostrara que la nueva cuenta era una cuenta real de la empresa proveedora. Los piratas enviaron un documento falsificado que imitaba el mencionado certificado y el IMI no detectó la falsificación. Así, se hicieron una serie de pagos en esta nueva cuenta por un importe global de 349.497,88 euros. Según han explicado fuentes municipales, aunque los pagos se hicieron en diciembre de 2021 el caso se descubrió a principios del mes de febrero, cuando el proveedor real del IMI, la empresa Sistemas Informáticos Abiertos (SEA), dijo al ayuntamiento que no habían recibido ningún pago de las facturas que había pendientes desde noviembre. Al detectar la estafa, el consistorio denunció los hechos a los Mossos d'Esquadra, entregándolos toda la información y documentación de que se disponía. Como reacción a la estafa el ayuntamiento se puso en contacto con el banco a través de lo que se habían hecho los pagos a los estafadores para ver si se podían anular las transferencias y recuperar el dinero pero ya no fue posible porque el dinero se había retirado de la cuenta.

Cambios en el protocolo

El caso ha sorprendido por el hecho de que haya sido el Instituto Municipal de Informática a quien haya sufrido una estafa informática. El ayuntamiento se ha defendido diciendo que el IMI tiene "un sistema de seguridad robusto" y "unos protocolos de ciberseguridad muy claros" pero que "desgraciadamente los ataques informáticos son cada vez más comunes". En todo caso, a partir de este caso, el IMI ha cambiado los procedimientos que se tienen que hacer para que un proveedor cambie la cuenta corriente en lo que recibe los pagos del ayuntamiento para intentar evitar que pueda volver a suceder un hecho parecido. Estos nuevos protocolos incorporan una serie de trámites y pasos previos que complementan el certificado de titularidad bancaria firmado y sellado por el banco con el número de cuenta corriente que ya se requería desde siempre para poder hacer el cambio.

Críticas de ERC

Este viernes el pleno municipal ha aprobado que se paguen los 350.000 euros en Sistemas Informáticos Abiertos que no llegaron a recibir. La aprobación se ha hecho con el voto favorable de todos los grupos, menos el de Valents, que se ha abstenido, y el de Esquerra Republicana, que ha votado en contra. Aunque la aprobación se ha realizado sin debate, ERC ha comentado los hechos a través de un tuit del concejal Jordi Coronas. "El Ayuntamiento, que somos todos, ha perdido 350.000 euros por una estafa incomprensible", ha escrito al portavoz municipal. 

Coronas también ha recordado al tuit que la cuestión ya se abordó en comisión, que allí su grupo pidió un informe exhaustivo para dirimir responsabilidades si hacía falta y que este viernes, a pesar de tener que votar al pleno sobre el pago al proveedor real, no han recibido este informe que pidieron. A la comisión, Coronas expresó su sorpresa sobre la debilidad de los protocolos para hacer un cambio de cuenta corriente de un proveedor. "Que recibiendo un correo electrónico y un documento escaneado, sin comprobar su autenticidad, se hagan pagos por valor de 350.000 euros nos parece una cosa que no se puede volver a repetir", constató al concejal republicano.