La supuesta beneficiaria de los giros fraudulentos fue detenida en Bogotá. Anoche un juez de garantías adelantaba las diligencias concentradas. La detenida, aparece como proveedora, cobrando 480 millones de pesos.
RICARDO AREIZA
Unidadinvestigativa@lanacion.com.co
Confirmado. Una mujer, presuntamente implicada en el robo cibernético en las cuentas oficiales de Campoalegre, fue capturada ayer en Bogotá, en desarrollo de las investigaciones.
La supuesta beneficiaria de los giros fraudulentos realizados en mayo pasado, cayó en poder de las autoridades que le seguían los pasos.
La detención fue realizada por agentes de inteligencia de la Policía, amparados en una orden de captura, solicitada por la Fiscalía Octava Seccional que adelanta la respectiva investigación.
La mujer fue identificada como Karina Margarita Mestra Fuentes, quien apareció como beneficiara de las operaciones irregulares. No solo recibió los giros fraudulentos sino que efectuó durante tres días el retiro del millonario fraude, a través de cajeros automáticos, corresponsales bancarios y retiros en las propias sedes de Bancolombia.
La mujer, natural de San Bernardo del Viento (Córdoba), fue candidata al concejo en dos oportunidades primero por el movimiento Mío y luego por el Partido de la U. Sin embargo no tiene ninguna relación con Campoalegre, ni ha sostenido relaciones negociales o contractuales.
Fuentes de la Fiscalía General de la Nación confirmaron que ayer se realizaban las diligencias concentradas en el complejo judicial de Paloquemao en Bogotá, ante el Juzgado Décimo Penal Municipal de Control de Garantías.
Robo sin aclarar
El misterioso robo, aun sin esclarecerse, ocurrió en la primera semana de mayo pasado.
Los supuestos delincuentes cibernéticos accedieron a una de las cuentas oficiales de la Alcaldía de Campoalegre y se sustrajeron 480,54 millones de pesos, en tres giros distintos realizados a una cuenta foránea de un supuesto proveedor, sin que los encargados de la custodia se percataran.
El primero ocurrió el miércoles 6 de mayo de 2020 a las 8:52 de la mañana. El giro fue por 129,80 millones de pesos. El mismo día giraron otros 71,81 millones de pesos. La operación se registró a las 3:18 de la tarde.
El jueves7 de mayo a las 2:56 p.m. repitieron la operación delictiva y se robaron otros 139,46 millones de pesos. El viernes 8 de mayo, alasc3: 26 p.m. sacaron otra cifra similar de la cuenta oficial con el Banco de Colombia.
Curiosamente, el dinero fue retirado de la cuenta receptora 268-000121-38 a través de cajeros automáticos, corresponsables bancarios, traslados por la sucursal virtual y en sucursales físicas, usando una tarjeta débito.
Durante los tres días la mujer realizó 51 operaciones de retiro del dinero. La última transferencia fue realizada el lunes 11 de mayo a las 11:36 a.m. por 530 mil pesos. Al día siguiente estalló el escándalo por el robo cibernético.
Las maniobras
Para realizar estos retiros por cajero automático y corresponsal bancario se requiere la tarjeta débito física y la primera clave del cliente.
Para los retiros en cualquier sucursal física, adicional a estos dos elementos deben pasar el proceso de biometría, el cual pasaron exitosamente, según lo certificó la institución bancaria.
Finalmente, para el traslado de fondos se requiere el usuario, la primera clave y la clave dinámica. Según Bancolombia los retiros de la cuenta receptora por sucursal física pasaron las pruebas biométricas y copia de ellas, remitieron a las autoridades.
El escándalo
Cuando los ladrones cibernéticos retiraron los últimos 530 mil pesos que quedaban de la cuenta receptora, los responsables del manejo financiero declararon la alerta roja.
“Hemos sido víctimas de un robo cibernético. Como entidad de territorio tuvimos un desfalco el pasado 6,7 y 8 de mayo; durante estos tres días nos saquearon 480 millones de pesos, de la cuenta denominada ‘fondos comunes’, la cual está vinculada financieramente con Bancolombia”, confirmó la alcaldesa Elizabeth Motta Alvárez, en una transmisión en vivo a través de las redes sociales.
Ese mismo día anunció que ya había instaurado una denuncia ante la Fiscalía.
Además, puso el caso en conocimiento de la Superintendencia Financiera y requirió su intervención para que el banco reintegre los recursos que fueron hurtados de cuenta bancaria de propiedad del municipio.
Simultáneamente denunció el robo cibernético a la institución bancaria, argumentando que “no cuenta con protocolos de seguridad adecuados”.
También lo denunció a la Aseguradora Solidaria de Colombia y reclamó la activación de la póliza de responsabilidad civil extracontractual por hurto cibernético mediante transacciones delictivas cibernéticas.
La alcaldía tiene vigente con esa empresa el contrato de seguros número 094 del 14 de abril de 2020 y la póliza de responsabilidad civil extracontractual hasta el 8 de abril de 2021.
Bajo este amparo, reclamó el reintegro del dinero ilegalmente sustraído, a título de indemnización.
Piratas informáticos
Las transacciones correspondían a un supuesto pago de proveedor a la cuenta No. 268-000121-38, registrada a nombre de Karina Margarita Mestra Fuentes, ya capturada.
Según la institución bancaria, el fraude financiero se hizo a través del portal virtual SVE (Sucursal Virtual Empresas) manejado por Carlos Alberto Fierro tesorero del municipio y por el secretario de Hacienda Rodrigo Soto Rojas, quienes son los encargados de realizar los pagos.
Los dos funcionarios solo se percataron del fraude cuatro días después. Las operaciones nunca fueron autorizadas por ellos y anunciaron que desconocían el origen de las transacciones fraudulentas.
La otra cara
Desde Medellín, Gustavo Adolfo Díaz Chavarriaga, gerente de Requerimientos Legales registró otra versión sobre el escandaloso robo. En su criterio, las transacciones fueron realizadas desde la dirección IP2 oficial, usada habitualmente por la Alcaldía de Campoalegre, según el historial transaccional correspondiente.
El cliente, en este caso la Alcaldía de Campoalegre, tiene un esquema de seguridad para sus transacciones de control dual, el cual exige un doble factor de autenticación con dos “Usuarios” (preparador y .aprobador) y tokens independientes para cada uno, de manera que uno prepara y otro aprueba las operaciones desde diferentes equipos.
“Con el adecuado uso de este esquema de control, se dificulta la infección paralela de dos equipos y la posterior materialización del fraude”.
En su caso, se hizo el uso de este mecanismo en un solo dispositivo, evitando un control de seguridad apropiado para estas operaciones.
El sistema dual, es un esquema de seguridad que permite que las transacciones que realice el cliente tengan un doble factor de autenticación con dos usuarios y token diferentes, para quien las prepare y apruebe desde diferentes equipos.
“En estos eventos, Bancolombia procede a ejecutar un análisis técnico para descartar un posible virus informático denominado “malware”, a través de una llamada telefónica que es realizada por uno de nuestros expertos forenses y con apoyo en sitio de un técnico nuestro o del mismo cliente”, explicó el funcionario.
“Allí se validan las condiciones de seguridad del equipo y se busca identificar el virus para eliminarlo. Sin embargo, esto no fue posible, toda vez que el municipio manifestó que la Fiscalía, en virtud de la denuncia instaurada, no autorizó finalmente para que el Banco realizara dicho análisis.
No era un virus
Durante la investigación interna, el banco descartó una eventual ‘infección informática’.
“Los virus son diferentes tipos de ‘Malware’, cada uno con un objetivo de ataque específico, que suelen instalarse en el computador, portátil, ‘Smartphone’ o ‘tablet’ sin el consentimiento del propietario, por medio de descargas o correos de remitentes desconocidos, cuya finalidad es dañar un sistema o dispositivo. Cuando este virus infecta, puede realizar diferentes acciones, como el robo de información o la captura de contraseñas”, precisó el documento interno conocido por LA NACIÓN.
“Para la fecha en que ocurrieron las operaciones electrónicas objeto de reclamación, no se evidenció por parte de los medios electrónicos habilitados por el banco, actos vandálicos o errores en sus operaciones de tipo técnico, ni se reportaron por las demás redes o medios diferentes al banco tales situaciones”, acotó.
Protocolos
En la investigación preliminar la institución bancaria advirtió que en su caso, “cumplió objetiva y razonablemente con todos los procedimientos establecidos para la validación de los mensajes de datos, corroborando su autenticidad e integridad”.
Además, verificó que se hubiera digitado la clave personal en señal de aceptación de la orden impartida, “razón por la cual no es posible inferir una eventual falla en el servicio a cargo de la entidad bancaria por aquel resultado dañino que ahora nos ocupa”.
En conclusión, “el dictamen después de la investigación realizada por el banco es desfavorable”.
Sin embargo, curiosamente, la institución bancaria, a pesar de los resultados de su investigación interna, inusualmente, decidió devolver la plata que se robaron los desconocidos ‘piratas cibernéticos’.
“Tuvimos presente la relación comercial que llevamos por más de 26 años y es por esta razón el banco decidió para este caso puntual y por esta única vez, acceder positivamente a sus pretensiones y por ende procedió a reconocer la totalidad del dinero reclamado”, respondió la institución.
La devolución
En efecto, Bancolombia, en un hecho inusual, devolvió las sumas de dinero.
“El banco decidió sólo en esta única oportunidad, reconocer todas las transacciones reclamadas, buscando fortalecer las relaciones comerciales y mejorar la experiencia de nuestro cliente; en ese sentido”, explicó el vocero de la institución.
Los recursos fueron abonados en la cuenta bancaria de la administración municipal por valor de $480.549,846.00, el 20 de mayo del año en curso.
Según la investigación interna el banco le confirmó a la Contraloría del Huila que “la situación presentada no es atribuible a fallas del banco”.
Además, reiteró que en este caso “tuvimos presente la relación comercial que llevamos por más de 26 años y es por esta razón que el banco decidió para este caso puntual y por esta única vez, acceder positivamente a sus pretensiones y por ende procedió a reconocer la totalidad del dinero reclamado”.
La Oficina de Control Fiscal verificó efectivamente en el extracto generado por el banco el abono a capital el 20 de mayo a la cuenta de Fondos Comunes de propiedad del municipio de Campoalegre, por valor de $480.549.856. Por lo tanto se resarció en su totalidad el daño al patrimonio del municipio.
Lo que sigue
Aun así, el contralor departamental Amaury Luis Flórez, decidió mantener el hallazgo con todas las implicaciones contra los dos funcionarios encargados del manejo de las finanzas públicas del ente territorial.
“De acuerdo con reglamento interno y el manual de funciones del municipio de Campoalegre, los únicos funcionarios autorizados y con las claves de acceso y con los equipos habilitados para crear y autorizar giros, en su orden, son el Secretario de Hacienda y el Tesorero municipal”, precisó,
“El primero crea la orden de pago y el segundo verifica procesos de legalidad, presupuestal, documentos soporte, beneficiario y la cuantía del giro y cumplidas estas verificaciones autoriza el desembolso”, aseguró.
Apoyado en la investigación interna de la institución financiera, la Contraloría, mantuvo sus sospechas.
Teniendo en cuenta la investigación realizada a los movimientos que son objeto del delito informático ocurrido en las cuentas del municipio de Campoalegre, se pudo establecer que fueron a través del portal SVE. (Sucursal Virtual Empresas). Es decir, la plataforma informática del banco y sus clientes.
Asimismo, “los pagos se realizaron desde la IP (oficial), la cual es de uso frecuente del cliente”, anotó.
“El portal SVE es manejado por el Tesorero y el Secretario de Hacienda, quienes son los encargados de realizar los pagos. Se investigaron los movimientos que son objeto de cuestionamiento y se pudo establecer que las transacciones fueron realizadas desde la dirección IP oficial la cual se usa habitualmente según el historial transaccional del municipio de Campoalegre”, afirmó el Contralor.
“Teniendo en consideración lo expuesto, del análisis de la documentación que hace parte de esta auditoría y del informe interno enviado por el Banco de Colombia, se determinó como hallazgo de carácter administrativo, disciplinario y penal al Secretario de Hacienda y al Tesorero de Campoalegre.
“Los dos eran los únicos funcionarios de la administración municipal que, por las características, naturaleza del cargo y por manual de funciones, poseen claves de acceso, claves o token para generar y autorizar giros electrónicos; poseen los computadores identificados y habilitados por el banco de Colombia, para la ejecución de estas tareas inherentes a sus cargos, deben realizar de manera continua y oportuna tareas de verificación y control de transacciones bancarias”, concluyó.
