L'Institut Municipal d'Informàtica ha estat víctima d'un ciberatac d'enginyeria social per valor de 350.000 euros (Wikimedia / Serge Melki)

L'Ajuntament de Barcelona perd 350.000 euros en una estafa informàtica

El consistori va arribar a transferir l'import de 13 factures al compte corrent d'uns estafadors abans d'adonar-se del frau i ha votat tornar a pagar al proveïdor legítim
Enllaç a altres textos de l'autor

Toni Noguera Martínez

Periodista del 324.cat especialitzat en tecnologia

@AntoniNoguera
Actualitzat
TEMA:
Seguretat

El 2 de febrer, l'administració de l'empresa Sistemas Informáticos Abiertos (SIA) va enviar un correu a l'Ajuntament de Barcelona per avisar que no havien cobrat cap de les factures pels serveis prestats a l'Institut Municipal d'Informàtica (IMI) des del novembre. Un total de 349.497,88 euros, segons ha avançat La Vanguardia, que ja s'han donat per perduts.

Les 13 factures reclamades per l'empresa SIA constaven com a validades i pagades. Els diners, tanmateix, no havien arribat al compte corrent de l'empresa sinó a la d'uns estafadors informàtics que van aconseguir enganyar l'IMI utilitzant mètodes d'enginyeria social

L'estafa va començar el desembre passat. Els ciberdelinqüents van enviar un correu electrònic a l'IMI fent-se passar pel proveïdor legítim. En el missatge, comunicaven que havien canviat el compte corrent i demanaven que els pròxims pagaments s'efectuessin en el compte nou. 

Seguint el protocol establert, l'Ajuntament de Barcelona va demanar l'enviament d'un certificat bancari signat i segellat que demostrés que el nou compte pertanyia al seu proveïdor autoritzat, Sistemas Informáticos Abiertos. Els estafadors van respondre adjuntant un document escanejat, un certificat fals que no es va detectar fins que ja era massa tard. 

Un cop l'empresa SIA va confirmar que no havia sol·licitat cap canvi de compte bancari, el 3 de febrer el consistori va sol·licitar el suport dels serveis jurídics i va demanar a l'entitat bancària si seria possible anul·lar les transferències i recuperar els diners.

L'endemà, l'Ajuntament va denunciar els fets a la direcció general de la Policia del Departament d'Interior de la Generalitat i va aportar tota la informació als Mossos d'Esquadra. Tanmateix, totes les gestions van ser en va: els estafadors i els diners ja s'havien esfumat


Canvis de protocol

Aquest divendres, el ple de l'Ajuntament ha aprovat que es tornin a pagar les factures pendents, aquesta vegada al compte corrent correcte del proveïdor real, SIA. Tot el ple hi ha votat a favor, exceptuant l'abstenció de Valents i el vot en contra d'Esquerra Republicana. El grup ha fet pública la seva perplexitat per l'estafa mitjançant el tuit del seu portaveu municipal i regidor, Jordi Coronas.

En comissió, Coronas ja va denunciar les sorprenents circumstàncies d'aquesta vulnerabilitat: "Que rebent un correu electrònic i un document escanejat, sense comprovar-ne l'autenticitat, es facin pagaments per valor de 350.000 euros ens sembla una cosa que no es pot tornar a repetir."

Arran de l'estafa, l'Ajuntament de Barcelona ja ha revisat i canviat els protocols, afegint tràmits per impedir que es repeteixi un cas similar. En el futur, un canvi de compte corrent per fer pagaments requerirà nous passos previs més enllà d'aportar un certificat de titularitat bancària habitual. 

Atacs d'enginyeria social

El consistori ha assegurat que, tot i haver caigut en el parany, l'Institut Municipal d'Informàtica té "un sistema de seguretat robust" i "uns protocols de ciberseguretat molt clars". A més, ha afegit, "malauradament els atacs informàtics són cada vegada més comuns".

Segons l'informe de ciberseguretat de l'Agència de Ciberseguretat de Catalunya, l'any 2021 es va registrar un rècord històric de ciberatacs, amb un 50% més que el 2020. La tendència de creixement d'aquest tipus d'amenaça digital segueix a l'alça a tot el món.

L'estafa que ha comportat la pèrdua de 350.000 euros a Barcelona es considera un atac d'enginyeria social. El concepte descriu un conjunt de tècniques que utilitzen els ciberdelinqüents per aconseguir els seus objectius a través de persones, la baula més dèbil de tota infraestructura de seguretat informàtica. L'objectiu d'un atac d'enginyeria social és manipular i enganyar éssers humans utilitzant informació que els sigui familiar, de manera que rebaixin els seus nivells d'alerta i sospita. 

En l'exemple del frau a l'Ajuntament, els delinqüents van fer servir el nom d'un proveïdor real, un remitent de correu electrònic que no va aixecar sospites i es van dirigir al departament correcte per sol·licitar una operació habitual. Finalment, a més, van seguir el protocol establert creant un document fals que tampoc va generar suspicàcies. La cadena de vulnerabilitats no va requerir la intervenció de cap hacker. Una estafa de tota la vida, però a través de mitjans digitals.

ARXIVAT A:
Seguretat Ajuntament de Barcelona
NOTÍCIES RELACIONADES
El més llegit
AVUI ÉS NOTÍCIA
Anar al contingut