Protección de Datos concluye que la deficiente seguridad en la EMT de València facilitó la estafa

VALÈNCIA. Las medidas de seguridad internas de la EMT de València eran insuficientes en 2019, y en consecuencia se pudo producir el fraude de cuatro millones de euros que unos estafadores anónimos perpetraron contra la entidad municipal. Es una de las conclusiones, sino la principal, a la que llegó la Agencia Española de Protección de Datos (AEPD) tras practicar la investigación sobre el controvertido suceso en la firma pública que preside el edil Giuseppe Grezzi, a la que atribuyó una infracción grave de la normativa ded protección de datos.

La estafa millonaria se fraguó cuando los defraudadores engañaron con técnicas de ingeniería social a una de las directivas, la que era jefa de Administración, haciéndose pasar por Grezzi y un abogado de la consultora Deloitte. Así consiguieron que la directiva facilitara datos privados de los responsables de la empresa pública que tenían permiso para firmar transferencias y ejecutara hasta ocho traspasos de un total de 4,04 millones de euros a dos cuentas radicadas en Hong Kong.

Pero el timo, que recibe el nombre de la 'estafa del CEO', y en el que intervinieron muchos factores como el incumplimiento de la normativa interna por parte de la directiva, también podría haberse evitado con unas mejores medidas de seguridad, al menos en el ámbito de la formación de los empleados. Esto es lo que explica la propia Agencia de Protección de Datos en una de las últimas resoluciones del expediente que data del pasado mes de octubre.

"Las medidas de seguridad que tenía implantadas la entidad investigada [la EMT de València] [...] no eran las adecuadas al momento de producirse la incidencia, con la consecuencia del acceso por terceros ajenos a datos personales de empleados de la entidad", señala la instructora del expediente, que va más allá para apuntar a la empresa municipal de ser la "responsable de la falta de formación de su personal". Una deficiencia que provocó "la aceptación por un empleado [la directiva] del ataque phishing".

Es por ello que la Agencia tenía claro de las "sólidas evidencias" de que la EMT de València incumplió el Reglamento General de Protección de Datos, que establece que el responsable de los datos, en este caso la firma, debe aplicar "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo". Es decir, señala, que la empresa tenía que mantener un nivel de seguridad en función de las consecuencias que podría conllevar la pérdida del control de esos datos.

Sí consta que la EMT hiciera un análisis de riesgos. "Sin embargo, no estimó como riesgo a minimizar [...] la repercusión de la falta de formación de su personal". Y eso "impidió garantizar un nivel de seguridad adecuado al riesgo", lo que derivó en el fraude millonario. En definitiva, que las medidas técnicas y organizativas, en especial en cuanto a la formación, "no son las adedcuadas al momento de producirse el ataque" y "la consecuencia" fue la "exposición" de los datos de los responsables superiores que la directiva facilitó a los estafadores.

De esta manera, aunque la firma que preside Grezzi y gerenciaba en aquel momento Josep Enric García -ahora Marta Serrano- ya "ha implantado las medidas corretoras adecuadas para evitar la repetición en el futuro" de una estafa similar, la Agencia apercibió en esta resolución a la EMT por una infracción grave de la normativa de protección de datos durante el fraude de aquel septiembre de 2019. Al tratarse de una empresa pública, la regulación la exime de una sanción económica por ello, con todo.

Conclusiones que quedaron en papel mojado

Estas fueron las conclusiones sobre el fondo de la cuestión por parte de la Agencia, que a la postre no acabaron materializándose puesto que finalmente archivó el expediente por un error propio de la Agencia. El motivo es que la EMT alegó indefensión puesto que el organismo no le trasladó en su día el recurso que presentó el PP para que se continuaran las indagaciones, un trámite formal omitido que impidió a la firma pública presentar alegaciones.

Ello obligó a la AEPD a anular recientemente las actuaciones practicadas y a reponerlas al momento en que se produjo el defecto de forma del procedimiento. Pero a la vez, archivaba toda la causa dado que la presunta infracción, cometida en septiembre de 2019, estaría prescrita desde los dos años de su comisión.

Así, aunque la Agencia considera que la EMT incumplió la normativa, el carpetazo formal empujó al presidente de la firma, Giuseppe Grezzi, a celebrbar el archivo y calificar de "ridículo" las actuaciones del PP con "denuncias falsas" sin informar de la resolución previa que ahondaba sobre las deficiencias de la empresa. Ahora, el PP advierte que el gobierno de que dirige Joan Ribó "mintió al ocultar la existencia" de la resolución que apercibía a la EMT por fallos de seguridad.

Deficiencias internas de la EMT

Como quedó comprobado definitivamente en las conclusiones de la comisión de investigación política, aprobadas también por el presidente de la EMT, la empresa presentó en el momento de la estafa deficiencias en el procedimiento de conciliación bancaria y en el control de la tesorería, así como en la falta de un protocolo organizado para la delegación de funciones en situación de baja o permiso.

"No se puede verificar en ningún protocolo ni relación de funciones de los puestos" a quién correspondía la tarea de revisar las cuentas, rezaba el documento, quien incidía en que la superior de la directiva engañada, que estaba de baja, "no había delegado formalmente ninguna tarea" durante este período e incluso esta directiva aseguró entrar alguna vez a ver las cuentas, sin percatarse de la salida extraña de dinero.

Así las cosas, otro factor a tener en cuenta durante el fraude fue el hecho de que, entre vacaciones y bajas, en el departamento sólo había dos trabajadoras cuando se produjo la estafa, lo que también influyó en el desarrollo de los acontecimientos. "El reducido número de personas en el departamento fue, sin duda, una de las claves para que los trabajos relacionados con la conciliación bancaria no se llevasen a cabo con la debida diligencia". Ello, unido al hecho de que Rayón no delegó ninguna función, llevó a concluir que "existieron tareas que quedaron desatendidas" aquellos días.