La EMT de Valencia sufrió, en 2019, una estafa de tipo CEO, la cual dio como resultado la pérdida de cuatro millones de euros de la empresa. ¿Sabes cómo evitar una estafa CEO? Para ello, primero debes saber cómo funcionan. Suelen hacerse a través del uso del correo electrónico, en los cuales los delincuentes solicitan la ayuda urgente y confidencial de algún empleado o directivo de la empresa. De esta forma, el empleado puede quedar en una posición vulnerable en la cual termine facilitando información sensible que permita a los estafadores lograr su objetivo.
La estafa CEO de EMT
En el caso de la empresa EMT, un grupo de estafadores contactaron a la antigua jefa de Administración fingiendo ser Giuseppe Grezzi y un abogado de la consultora Deloitte. Luego de engañarla utilizando técnicas de ingeniería social, consiguieron que la empleada facilitara los datos privados de los responsables de efectuar transacciones bancarias, información que fue aprovechada por los delincuentes para transferir 4,04 millones de euros a dos cuentas de Hong Kong, entre el 3 y el 20 de septiembre de 2019.
La Agencia Española de Protección de Datos (AEPD) ha concluido que las medidas de seguridad de la empresa eran insuficientes, condición que permitió que se vulnerase la privacidad de los datos. La investigación apunta a que la empresa incurrió en una grave infracción de la normativa vigente de protección de datos. Es decir, que este timo podría haber sido evitado si la empresa hubiese contado con un mejor sistema de seguridad.
Según la instructora del expediente, «las medidas de seguridad que tenía implantadas la entidad investigada [la EMT de València] […] no eran las adecuadas al momento de producirse la incidencia, con la consecuencia del acceso por terceros ajenos a datos personales de empleados de la entidad». Lo cual produjo que un empleado perteneciente a la directiva de la entidad fuese víctima de un ataque phishing que acabó en estafa.
Por todo ello, la Agencia concluye que la EMT de Valencia no cumplió con la normativa del Reglamento General de Protección de Datos, donde se establece que el responsable de los datos sensibles, en este caso la propia empresa, debe aplicar medidas apropiadas que garanticen un adecuado nivel de seguridad, a fin de proteger dichos datos del riesgo de infiltrarse fuera de la empresa. Con ello, la entidad pierde el control sobre dichos datos, los cuales pasan a una posición vulnerable de ser usados con fines delictivos.
La importancia de una buena formación en seguridad de la empresa
La EMT pudo probar que sí hizo un análisis de riesgos en su empresa. Sin embargo, no consideró, dentro de estos riesgos, el hecho de formar al personal en seguridad de la empresa. Este error impidió que los empleados estuviesen entrenados para reconocer fraudes de este tipo, lo cual desencadenó en el fraude millonario.
Las medidas técnicas y organizativas de la compañía fueron insuficientes para evitar los ataques y la exposición de los datos utilizados para realizar las transferencias bancarias. Sin embargo, por tratarse de una empresa pública, la ley la exime de sufrir una penalización económica por dichos errores. Otras fallas en las cuales también incurrió la empresa fueron procedimientos de conciliación bancaria y de control de la tesorería deficientes.
Por todo ello, es importante que existan protocolos de seguridad que conozcan todos los empleados, especialmente los miembros de la directiva y aquellos que manejen la información más sensible dentro de la empresa. Es la misma empresa la que debe encargarse de la formación adecuada del personal en entidades como Gesprodat, para evitar que sus empleados cometan errores y estén alerta, a fin de evitar brechas de seguridad que traigan consigo terribles consecuencias.
