El 14,5% de los funcionarios del Ayuntamiento de València 'picaron' en el simulacro de ciberestafa

VALÈNCIA. 768 empleados del Ayuntamiento de València cayeron en el ciberataque falso que envió el Servicio Municipal de Tecnologías de la Información y de la Comunicación (SerTIC) para medir el grado de preparación que tienen los trabajadores ante situaciones de posible fraude. Esto supone un 14,5% de los funcionarios de la casa. 

Según han explicado desde el consistorio, en total se enviaron 5.300 correos falsos. Alrededor del 30% de los empleados a los que se dirigía la acción, 1.590, llegaron a abrir el mensaje en sus ordenadores en algún momento, mientras que 768 de ellos cayeron en la trampa y pincharon finalmente sobre el enlace fraudulento.

Estas cifras, ofrecidas en respuesta a preguntas planteadas por el grupo municipal de Ciudadanos, entran "dentro de la normalidad" de otros simulacros similares, según han puntualizado desde el entorno de la concejalía del ramo, que lidera Pere Fuset.

El servicio de Agenda Digital y Administración Electrónica puso en marcha esta acción con el fin de aumentar la seguridad informática del Ayuntamiento y así prevenir los "errores humanos" que muchas veces resultan decisivos durante un intento de fraude, tal y como ya se ha visto en situaciones como por ejemplo la estafa de cuatro millones a la EMT o los 21.000 euros que perdió el Palacio de Congresos.

En esta ocasión, los correos que se enviaron a los trabajadores municipales presentaban el membrete del Ayuntamiento de València y estaban firmados con nombres creíbles, a pesar de que ninguna de las cuentas coincidía con las que suele manejar el consistorio. Algunos incluso estaban escritos en valenciano para aumentar su nivel de verosimilitud.

Una vez dentro, los correos contenían el link a un sitio externo que, en realidad, era fraudulento. Si un un empleado pinchaba sobre el enlace, aparecía un mensaje en el que se advertía de que había caído en la trampa: "Este no es un ataque real pero podría haberlo sido", rezaba. Y luego se le informaba del riesgo de dejar expuesta la información sensible de la corporación. 

Para convencer a los empleados de pinchar en el enlace, se utilizaron diferentes modelos de mensaje. Por ejemplo, uno aprovechaba la vuelta a la presencialidad de los empleados del Ayuntamiento para informar de "una serie de medidas en materia de salud laboral, que han de ser conocidas y aplicadas". De esta forma, se adjuntaba un link que supuestamente llevaba al documento informativo "publicado en la intranet" municipal.

Otro informaba al trabajador de que había superado el límite de almacenamiento en el buzón del correo: "Haga clic en el siguiente enlace para abrir una nueva herramienta proporcionada por el SerTIC que permite, de forma asistida, limpiar la bandeja de entrada y mantener organizado el correo electrónico", explicaba el mensaje. Otro, por contra, informaba al trabajador de que no había completado la formación obligatoria en materia de seguridad, y le remitía a través de un enlace al programa de formación.

Con todo, los trabajadores que cayeron en el engaño fueron automáticamente apuntados a un módulo educativo sobre ciberseguridad, de carácter obligatorio. Y es que, el consistorio se expone a graves consecuencias en caso de que alguno de sus trabajadores descargue un archivo dañino de manera involuntaria. Por ejemplo, podría llevar a la extracción de información importante o al robo de contraseñas y credenciales, entre otras. 

489 intentos de fraude en 2020

El Ayuntamiento de València también ha informado de que en el año 2020 se registraron 489 intentos de fraude. Y por el momento, en lo que va de 2021, ya se han contabilizado 290. Un asunto que cada día preocupa más al consistorio, especialmente en un contexto de creciente digitalización por las circunstancias de la pandemia. 

En este sentido, el área de Agenda Digital ha preparado, junto con el departamento de Personal que dirige Luisa Notario, una campaña municipal para mejorar la respuesta de los funcionarios ante los diversos intentos de phising a los que se expone la administración local. Esta se alargará como mucho hasta verano de 2022 y contará con cuatro fases, siendo la primera de ellas el envío masivo de correos falsos para conocer el verdadero estado y conocimiento de los trabajadores en la materia.