Celia, víctima de la ‘estafa del CEO’: “Me piden 4,4 millones, que es todo el dinero que le han robado a la empresa”

España es uno de los países con más estafas online de todo el mundo. Los ataques informáticos han crecido un 379,8% en poco más de seis años, según los datos del último informe publicado por el Ministerio del Interior. Los expertos coinciden en la necesidad de formar a los usuarios para evitar este tipo de estafas, pero ni las empresas ni la administración pública parecen estar por la labor. En 2022, los españoles han denunciado 336.778 intentos de fraude, lo que supone una media de 922 timos al día.

La estafa del CEO es una de las más comunes y peligrosas. Los ciberdelincuentes utilizan esta técnica para acceder a las empresas e instituciones sin levantar sospechas. La operación consiste en hacerse pasar por un alto cargo y engañar a alguno de los empleados con la excusa de solventar un pago urgente. “Los timadores buscan personas que tienen acceso a los recursos económicos, cogen sus datos personales y estudian las principales características del negocio”, detalla José Manuel Redondo, profesor de Informática y Ciberseguridad en la Universidad de Oviedo. Con la información en la mano, le escriben al trabajador para pedirle “confidencialidad” y solicitar una transferencia de dinero que no suele bajar de las cuatro cifras.

Celia Zafra, exdirectora del departamento de administración de la Empresa Municipal de Transportes (EMT) de València, es una de las víctimas de este tipo de fraude. La mujer llevaba 38 años en la compañía cuando un martes de septiembre, con media oficina de vacaciones, recibió un correo electrónico. “No tenía más conocimientos de los que nos ofrecía el departamento de formación, que eran cursos de inglés, valenciano, Excel y Word. La primera vez que escuché algo relacionado con la estafa del CEO fue cuando descubrí que había sido víctima”, cuenta la empleada en una conversación con Infobae España.

El hombre que firmaba el mail decía ser un abogado de Deloitte, una de las cuatro principales consultoras de todo el mundo con la que, por aquel entonces, trabajaba la EMT. “Me habló de una supuesta cláusula de confidencialidad, me aseguró que le había dado mi teléfono el presidente de la empresa y me pidió transferencias para una operación de nueve millones de euros que estaba todavía en trámites. Lo primero que hice fue buscar en Internet al supuesto abogado, pero los datos coincidían, porque le había suplantado la identidad a uno de los trabajadores de la auditora”, añade.

Las compañeras de Celia Zafra, que llegaron a hablar con el estafador por teléfono, lo describían como un “señor serio”. Los trabajadores de la EMT no siempre conocían las decisiones y maniobras de sus superiores. Además, el propio jefe de la empresa pública, con la extensión del consorcio, le había confirmado por correo electrónico la existencia del proyecto, de modo que la propuesta no tenía por qué resultar extraña. “Más tarde me enteré de que no había sido el presidente, sino un phishing, es decir, alguien que se hizo pasar por él”, prosigue la víctima.

La empleada hizo ocho transferencias por un valor total de 4,4 millones de euros, todas ellas con la firma de los supuestos apoderados de Deloitte. El gestor de la entidad bancaria, que había estado de vacaciones, se puso en contacto con la trabajadora antes de aprobar la novena operación. “Me dijo que necesitaba la firma de un apoderado para autorizar movimientos financieros con China, cosa que nadie me había pedido en los pagos anteriores. Esto fue un lunes, ese día nos enteramos de la estafa. El viernes, cuatro días después, me llama el gerente y me entrega la carta de despido, todo esto sin haber mediado palabra. Luego supe que habían llamado al médico de la empresa para que estuviese cerca por si me daba un patatús”, continúa.

Te puede interesar: España, uno de los países con más estafas ‘online’ del mundo: “La administración pública no invierte lo suficiente en ciberseguridad”

Celia Zafra, que por aquel entonces acariciaba la jubilación, denunció a la empresa por despido improcedente. El primer juicio lo ganó, pero la EMT presentó un recurso que la terminó dejando sin ningún tipo de indemnización. “Me considero doble víctima, porque la empresa también ha ido contra mí”, lamenta. La oposición del consistorio llevó el caso al Tribunal de Cuentas con el objetivo de implicar al Ayuntamiento de València, sin embargo, los consejeros determinaron que la única responsable era la trabajadora. “Me piden 4,4 millones, que es todo el dinero que le han robado a la empresa, más un pico de 300.000 euros por las costas y los intereses”, reprocha la mujer, que tiene todos sus bienes embargados.

La defensa presentó un recurso, pero el mismo tribunal lo rechazó, aunque no por unanimidad. “Para sorpresa nuestra, el único magistrado de carrera en la sala emitió un voto particular, diciendo que esto era un disparate y utilizando los mismos argumentos que nosotros. Ese voto ha sido decisivo para llevar el tema al Tribunal Supremo”, sostiene Rafael Guia, abogado de la trabajadora. La actual sentencia responsabiliza de los menoscabos única y exclusivamente a la víctima del ciberataque, una empleada que “ni siquiera tenía la última palabra” a la hora de autorizar los pagos. La resolución final, de seguir adelante el caso, puede tardar entre tres y cuatro años en llegar.

Te puede interesar: ‘Phishing’, ‘smishing’, ‘vishing’… las estafas en Internet crecen un 380% en seis años

“Este es un asunto novedoso. El Tribunal de Cuentas nunca se había enfrentado a una historia similar. En otros casos, cuando los trabajadores públicos han tenido que devolver dinero, los magistrados se basaban en que habían autorizado la operación. La sentencia actual puede sentar un precedente al adjudicar a los funcionarios una nueva responsabilidad”, sostiene el abogado. De cerrarse el caso, cualquier empleado de la administración pública que intervenga en un pago, aunque solo cumpla órdenes y no tenga ningún otro poder, puede ser declarado culpable.

Celia Zafra asegura que, como operaria de la empresa, no tenía las herramientas necesarias para protegerse ante una estafa de estas características. “Los auditores llevaban tiempo diciendo que la EMT suspendía en materia de ciberseguridad”, recuerda. Rafael Guia, abogado de la víctima, insiste en los riesgos de la sentencia y defiende “la presunción de que la autoridad, supuestamente, le estaba dando una orden legítima a la trabajadora”. Ella califica el proceso de “amargo” y se muestra bastante tranquila: “Creo en la justicia”.