Los ciberestafadores también atacan a la Generalitat: en diez años intentan robar 1,7 millones

BarcelonaLa ciberdelincuencia es un fenómeno creciente con el auge de las nuevas tecnologías, por lo que no sólo los ciudadanos son víctimas, sino que las administraciones también han pasado a ser un objetivo a batir. De hecho, mueven un gran volumen de recursos y también de datos de personas físicas y jurídicas, lo que las hace atractivas para los delincuentes. Prueba de ello es que la Generalitat, tal y como ha podido constatar el ARA a través de una petición de transparencia, también ha sido víctima de fraudes económicos. En concreto, han sido "comprometidos" un total de 1.711.068 euros, es decir, el Govern tiene contabilizado que ha habido un intento de robar esa cantidad de recursos a través de fraudes. De esta cantidad, sin embargo, la Generalitat ha podido retener la mayoría de dinero: 1.661.948 euros. "La diferencia de 49.120 euros corresponde al importe que efectivamente los ciberdelincuentes han logrado defraudar", admite el Govern. Desde Presidencia destacan que han logrado preservar el 94% de los recursos.

¿En qué ámbitos se han producido estos fraudes? Ambos casos son de 2024: el departamento de Presidencia fue víctima de un intento de ciberrobo de 573.941 euros, que detectaron inmediatamente y se salvaguardaron el dinero, mientras que al Instituto Catalán de la Salud se le defraudaron 232.252 euros, los cuales también se habrían resarcido2 menos. delincuentes.

De hecho, el ámbito sanitario, por el volumen de recursos que gestiona y los múltiples tratos con proveedores, aparece en el punto de mira de la ciberdelincuencia. El fraude con un éxito del 100% se produjo en el 2023 en el Servei Català de la Salut: se defraudaron 22.222 euros que no se han recuperado. Tampoco tuvieron demasiado éxito en el resarcimiento de recursos el departamento de Derechos Sociales y la conselleria de Cultura en el 2020, cuando un ciberataque logró llevarse 31.043 euros, de los que sólo se recuperaron 16.676 euros.

Los primeros ciberfrades que anota la Generalitat, pese a ser cuantiosamente más elevados, sí pudieron neutralizarse. Se trata de 561.719 euros en el Instituto Catalán de la Salud en el 2016 y de 289.888 euros en el departamento de Interior en el año 2017. Según explica el Gobierno en su respuesta, en todos los casos las víctimas de estos ataques son las unidades de gestión económica de los departamentos, que suelen regentar funcionarios dentro de los departamentos de los servicios de cada uno.

¿Y cómo lo ha hecho el gobierno catalán para recuperar el dinero? "Las actuaciones consisten fundamentalmente en solicitar a las entidades financieras que bloqueen la cuenta fraudulenta e inmovilicen sus fondos", además de interponer la denuncia correspondiente a los Mossos y "ejecutar con la máxima urgencia posible la retrocesión de los fondos a las cuentas corrientes de la Generalitat".

Desde los Mossos explican que ya hace tiempo que trabajan para evitar que se produzcan estos fraudes. En una conversación con el ARA, el sargento y jefe de la unidad central de estafas y medios de pago de la División de Investigación Criminal (DIC) de los Mossos, Xavier Quesada, aclara que los delincuentes intentan conseguir los recursos públicos a través de la suplantación de identidad. Aprovechándose de los datos que son públicos de los concursos y de los proveedores, el modus operandi suele ser lo siguiente: envían un correo a la administración haciéndose pasar por una empresa que trabaja para la Generalitat y le indican que a partir de ahora hacen un cambio de número de cuenta para intentar que se les ingrese a ellos el dinero de las facturas pendientes. Para evitar que se produzca el fraude, Quesada aconseja siempre realizar una llamada de comprobación a la empresa. Tienen contrastado que buena parte de las organizaciones criminales que se dedican a este tipo de delitos se sitúan en Rumanía.

El experto en ciberseguridad José Nicolás Castellano asegura que la "diligencia" es clave a la hora de evitar fraudes: primero, la prudencia ante este tipo de correos y, después, la rapidez con la que las entidades bancarias deben bloquear las cuentas, que es más fácil de hacer si están en el Estado. De hecho, Quesada dice que a partir del 2016 las entidades bancarias también se han puesto las pilas en esta cuestión: se encienden las alarmas si detectan una cuenta recién creada que, de repente, recibe una gran cantidad de dinero de la administración. En paralelo, fuentes de Presidencia explican que, al ser uno de los factores de riesgo humano, están trabajando con la Agencia de Ciberseguridad para "reforzar la concienciación y la sensibilización de los empleados públicos en materia de seguridad".

El Gobierno no quería facilitar los datos

La Generalitat de entrada no quería dar los datos sobre cuyos fraudes ha sido víctima, aunque es una cuestión que en otros casos ha sido objeto de responsabilidad contable. El ejemplo más claro es el Ayuntamiento de Valencia, que fue víctima de varios fraudes por un valor de 5 millones de euros. El Tribunal de Cuentas consideró a la exdirectora de la Empresa Municipal de Transportes (EMT) responsable de la pérdida de dinero por no haber procedido correctamente y resolvió que ella misma tenía que pagar 4,2 millones de euros, el importe del ciberfraude.

A pesar de estos precedentes, el gobierno catalán y la Agencia de Ciberseguridad denegaron a este diario facilitar la información solicitada con relación a los fraudes económicos que había sufrido la Generalitat y no fue hasta la intervención de la Comisión de Garantía del Derecho de Acceso a la Información Pública (GAIP), que dio la razón al 'AR'. Un proceso que se ha alargado un año, ya que la primera solicitud por esta información que hizo este diario fue el 30 de diciembre de 2024.

"Hacer pública la información solicitada puede comprometer la seguridad y revelar vulnerabilidades en los sistemas de seguridad, facilitando ataques futuros", argumentó el gobierno catalán para denegar la petición. La propia Agencia de Ciberseguridad exponía argumentos similares frente a la GAIP para evitar que se entregara la información: "Revelar esta información podría crear una innecesaria alarma social". También se mostraba reacio a identificar las unidades administrativas responsables.

Sin embargo, la GAIP consideró que la revelación de las cuantías de los fraudes económicos de los que había sido víctima la Generalitat no supone un "daño sustancial, real y manifiesto sobre la seguridad pública que impida hacer pública la información reclamada". Además, la Comisión se reafirmaba en que la información solicitada por este diario daba "transparencia sobre los asuntos públicos" y era "útil" para la sociedad a efectos de "controlar cómo la administración de la Generalitat gestiona esta problemática y cómo se preservan los recursos públicos". Al fin y al cabo, son recursos del erario público y, por tanto, de los ciudadanos.