Ayuntamiento de Palma de Mallorca estafado con 300.000 euros mediante phishing Blog elhacker.NET

Tabla de contenido

El Consistorio ha denunciado los hechos a la Policía Nacional y asegura que hay «avances importantes» en la investigación. Los ciberdelincuentes suplantaron la identidad del personal de la empresa de limpieza Samyl. Se han robado más de 300.000 euros de los fondos públicos de Cort al suplantar la identidad de una compañía con cuentas bancarias falsas. 

El Ayuntamiento ha denunciado los hechos a la Policía Nacional, que se encargará de resolver el caso, y aseguró en un comunicado que se han personado en las diligencias previas y que ya hay «importantes avances en la investigación» que llevan a cabo los agentes. 

Empresa SAMYL (Servicios Especiales de Mantenimiento y Limpieza)

Al parecer, el pasado mes de febrero, el departamento de Tesorería de Cort recibió un correo de la Sección de Contratación, que le reenvió una comunicación aparentemente de la empresa Samyl, la adjudicataria del servicio de limpieza de varios edificios municipales. El mensaje indicaba que la compañía estaba en proceso de cerrar su cuenta bancaria, y adjuntaba los datos de una nueva cuenta para realizar los pagos.

El departamento solicitó, como marca el protocolo, un certificado de titularidad bancaria firmado y sellado para confirmar la identidad de su proveedor autorizado. Según ha explicado el Ayuntamiento, los presuntos piratas informáticos lograron falsificar estos documentos, presentados con sello y firma electrónica con «total apariencia de ser verdaderos», por lo que el 8 de marzo el Consistorio pagó dos facturas a la cuenta indicada; una de ellas por un importe de 263.652,20 euros, y la otra por 39.498,27. En total, 303.150,47 euros.

El Ayuntamiento se dio cuenta de la estada cuando SAMYL reclamó los pagos de los últimos servicios y así se dieron cuenta de que habían pagado a alguien más. Por ahora no se sabe quiénes han llevado a cabo esta estafa o al menos no se han dado detalles al respecto. «Desde Tesorería se han emitido instrucciones para reforzar la seguridad en el protocolo por la aportación de certificados de titularidad bancaria, para impedir que se repita un caso similar», como han dicho desde la administración pública.

Con este desembolso, Cort dio la deuda por zanjada, hasta que la empresa Samyl -esta vez la verdadera- reclamó el pago de las facturas. En ese momento, el Consistorio descubrió el fraude y el mismo día los trabajadores de Tesorería, Intervención y Servicios Jurídicos municipales se personaron en las oficinas de la Policía Nacional para interponer una denuncia. También comunicaron lo sucedido a los dos bancos implicados y a la empresa de limpieza afectada.

En cualquier caso, el departamento de Hacienda ha comprobado que no se ha dado ninguna estafa similar en otras áreas del Consistorio, y desde Cort insistieron ayer en que el fraude no se ha cometido por un error informático, sino por «un documento falsificado dentro del gran volumen de facturas que se gestionan a diario».

De hecho, para extremar las medidas de seguridad ante este tipo de delitos cada vez más habituales, el regidor de Hacienda, Adrián García, se ha reunido con representantes de la entidad bancaria en la que operan los presuntos estafadores. También ha tenido un encuentro con el personal de su regiduría y la Junta de Portavoces para dar a conocer los hechos a todos los grupos municipales.

Por otro lado, el ayuntamiento de Palma explicó que trabaja desde hace meses en un plan de refuerzo del departamento de Hacienda que «está bastante avanzado» y que, a raíz del suceso, el área de Tesorería ha emitido instrucciones para garantizar la seguridad del protocolo de aportación de certificados de titularidad bancaria.

Además, Cort destacó en el comunicado que recientemente el Ayuntamiento de Barcelona sufrió un fraude con un procedimiento similar, puesto que transfirió el importe de 13 facturas a la cuenta de unos estafadores por un importe de 350.000 euros. 

¿Phishing? La técnica se llamada «Fraude al CEO«

El CEO fraud (Chief Executive Officer fraud o fraude al CEO, también conocido como BEC o Business Email Compromise) es un tipo de ciberfraude, considerado por algunos autores como spear-phishing

Este subtipo de phishing, a diferencia del phishing tradicional, se caracteriza en que el sujeto, que es víctima del fraude, es un empleado con un poder y acceso a los recursos económicos de una empresa que ha sido seleccionado y estudiado previamente en base al perfil de víctima buscado por el atacante. En definitiva, el fraude del CEO es un ataque dirigido que forma parte del conjunto de una operación con unos objetivos claros, tales como comprometer la seguridad de una compañía o institución o robar información, propiedad intelectual o dinero

Previo al contacto con la víctima, existe un proceso de recolección de información y datos tanto de los empleados como del funcionamiento de la empresa en general con el fin de poder determinar cuál de los múltiples empleados es la víctima más útil

Fuentes:

https://www.palma.cat/portal/PALMA/contenedor1.jsp?seccion=s_fnot_d4_v1.jsp&contenido=144057&tipo=8&nivel=1400&layout=contenedor1.jsp&codResi=1

https://www.elperiodicomediterraneo.com/sucesos/2022/06/07/estafan-300-000-euros-mediante-66996478.html

https://rejicblog.wordpress.com/2018/03/15/fraude-al-ceo-analisis-criminologico-del-fenomeno/

Fuente obtenida de: https://blog.elhacker.net/2022/06/ayuntamiento-de-palma-de-mallorca-estafado-300-mil-euros-phishing.html

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.