De víctimas a culpables: se abre la puerta a que los funcionarios asuman el coste de los ciberataques contra la Administración

De víctimas a culpables. Todos los funcionarios, con cargo de responsabilidad o no, podrían tener que hacer frente a las pérdidas económicas causadas por un ciberataque contra el organismo para el que trabajan si cometen un error que dé vía libre a los delincuentes. Por sorprendente que parezca, esto ya ha ocurrido. Es el caso de Celia Zafra, trabajadora de la EMT de Valencia que en 2019 fue engañada por elfraude del CEO, una estafa que según el FBI ya ha costado más de 1.800 millones de euros a las empresas de todo el mundo.

Los delincuentes se hicieron pasar por un abogado de Deloitte y el presidente de la EMT,una estrategia con la que consiguieron transferirse 4 millones de euros a dos cuentas de Hong Kong. El Tribunal de Cuentas ha condenado a Celia a reembolsar el dinero perdido, una decisión que embargaría todo su dinero y propiedades de por vida. Ahora, el caso está en manos del Tribunal Supremo, la última esperanza de Celia y de los trabajadores públicos, ya que con su decisión, el alto tribunal creará jurisprudencia para los próximos casos similares. Mientras esta nueva ventana de responsabilidad queda entreabierta, el Estado sigue sin ofrecer a sus empleados formación sobre ciberseguridad.

El caso de Celia es el paradigma de la estafa del CEO. Celia trabajaba para la EMT desde hacía 38 años y era directora del negocio de administración desde hacía 20, puesto en el que se ocupaba de facilitar a la dirección del área el balance y la cuenta de resultados mensual, aunque tenía dos responsables superiores: la dirección de finanzas y la dirección del área de gestión. Sin embargo, ella fue la elegida por los defraudadores para perpetrar el delito.

«Se puso en contacto conmigo un presunto abogado de Deloitte, firma con la que trabajábamos en Valencia, pero este era de Madrid, y me dijo que había una operación con una empresa de China. Me insistió que era absolutamente confidencial y que el importe total de la operación eran 9 millones, pero antes de que el presidente de la compañía lo anunciara en rueda de prensa había que tener abonado el 60%», explica Celia.

Inmediatamente después, los estafadores le hicieron firmar una carta de confidencialidad, una herramienta que usaron para evitar que Celia diese a conocer la operación entre sus compañeros. «Antes de eso recibí un correo del supuesto presidente de la entidad, que nunca se había puesto en contacto conmigo antes, diciéndome que me pusiera en manos del abogado. Fue todo por teléfono y correo electrónico», añade.

«Me dijeron que las transferencias iban a ser con carta, porque la CNMV quería trazabilidad y ya nos pusimos en marcha. Ellos me enviaban la factura. Yo elaboraba una carta en Word, se la mandaba al supuesto abogado y él me la devolvía firmada por dos apoderados de la empresa y yo se la remitía al banco. Fueron ocho transferencias. El banco las tramitó sin poner pega alguna, pero nosotros en la novena descubrimos la estafa», cuenta Celia a LA RAZÓN.

Cuando los delincuentes iniciaron la estafa, el gestor de la compañía estaba de vacaciones. Al volver de sus días de descanso, toda la operativa pasó a él. «Cuando hicimos la novena transferencia, el gestor me pasó un modelo para que lo firmasen los apoderados porque era necesario para que la EMT autorizase al banco a tramitar las operaciones», señala Celia, que al no poderse comunicar directamente con los apoderados, mandó el modelo al presunto abogado y este lo devolvió con las firmas. No obstante, el gestor quiso pedirle confirmación telefónica a alguno de los apoderados y ahí fue cuando el gerente les alertó de que no había estado firmando ninguna transferencia.

Celia asegura que durante el proceso comentó al supuesto abogado que no estaba «cómoda trabajando con tanto secreto». Además, «también ponía en copia a la jefa de gestión» para dejar constancia de los trámites que estaba realizando. Sin embargo, cuando se destapó el fraude la EMT de Valencia dirigió todas las responsabilidades contra ella, pese a no formar parte de la alta dirección, lo que derivó en la condena por la que se le reclaman los 4 millones de euros perdidos y 300.000 en costas e intereses.

«Esto ha sido horroroso. Ahora mismo tengo la esperanza puesta en el voto particular. Cuando recurrimos ante el Tribunal de Cuentas lo vieron tres consejeras y una de ellas emitió un voto a favor, la única que es juez de carrera. Con ese voto particular hemos presentado recurso ante el Tribunal Supremo», explica Celia, que advierte de que una sentencia negativa contra ella «sentaría jurisprudencia».

El abogado de Celia, Rafael Guía, pone el foco en esta cuestión: «Si esto se confirma, para los funcionarios se abre una vía de responsabilidad nueva que no existía en España». «Por un lado, cualquiera que tenga acceso a las cuentas, aunque no tenga capacidad de decisión, va a ser responsable y dos, en el caso de que haya más estafas, y las habrás -de hecho, después de este caso hubo dos más y no se fue contra nadie- van a acabar siendo responsables los empleados públicos», subraya. «Es como si vas a denunciar un robo y te dicen que la culpa es tuya por dejarte robar. No deja de ser una víctima de un delito», expone el abogado.

La situación de Celia si el Supremo no pone «sentido común» sería crítica, advierte Guía. «No tiene sentido convertir a la víctima del delito en responsable. 4 millones no puede pagarlos. Esto la llevaría a la absoluta ruina para el resto de su vida. Es una mujer jubilada. La dejarán sin casa, sin ningún bien y a vivir con la pensión embargada el resto de su vida. Es muy injusto lo que está ocurriendo, porque ella no se llevó un duro. Mientras, el procedimiento penal para encontrar a los responsables no avanza. Encima su despido se consideró procedente porque entendían que ella era responsable», explica.

Celia no había recibido formación ninguna sobre ciberseguridad. La formación que les ofertaba la empresa era de Excel, Word, inglés y valenciano. «No tenía ni idea de que existían esas estafas, ni de lo que era un ‘phishing’», admite. Para más inri, «las auditorías externas que nos hacían todos los años incidía en el hecho de que la seguridad de la EMT era muy baja, suspendíamos». «Yo no era conocedora hasta que sucedió la estafa, porque el supuesto presidente de la compañía me mandó el correo electrónico con la extensión de la EMT y yo me fié, no sabía que la gente podía imitar las extensiones de los correos electrónicos con tanta precisión», lamenta.

Las administraciones exigen tener funcionarios formados en ciberseguridad, pero no les proporcionan esa formación. En 2022, las administraciones públicas sufrieron 350.000 ciberataques y este año la tendencia no será distinta, ya que los organismos públicos manejan ingentes cantidades de información sensible y de gran atractivo para los delincuentes. Además, Andrés de Benito, responsable de ciberseguridad en Capgemini, advierte en Digitalbiz Magazine de que las administraciones públicas van un paso por detrás en implantación de tecnología y cultura de ciberseguridad. Otros expertos ponen el foco en los bancos como corresponsables de ejecutar transferencias sin control.

Los ciberataques contra el SEPE y el Ministerio de Trabajo en 2021 y el espionaje del programa Pegasus a los móviles de Pedro Sánchez, Margarita Robles, Luis Planas y Fernando Grande-Marlaska son el caldo de cultivo que ha dado lugar al éxito de los cursos de ciberseguridad impartidos por el Centro Criptológico Nacional para funcionarios. En la última oferta, 3.918 personas solicitaron acceder a esa formación, pero sólo dieron plazas a 473 personas, una cifra a todas luces escasa. Por su parte, el Ministerio de Justicia aprobó el mes pasado el primer Plan de Formación en 20 años, no obstante, este sólo incluye cursos de protección de datos, igualdad de género y Excel. Mientras, la Junta de Andalucía ha empezado a exigir nociones de capacitación digital para acceder al empleo público.