La estafa cibernética en Audasa: cuentas del BBVA y pagos en Hong Kong
Itínere denunció en el juzgado la suplantación de su director financiero con órdenes de pago a empleados de la gestora de la Autopista del Atlántico
Las diligencias de investigación que sigue el Juzgado de Instrucción número 36 de Madrid sobre una estafa cibernética denunciada por la concesionaria de la Autopista del Atlántico e Itínere, su accionista mayoritario, permite reconstruir la letra pequeña del fraude, que se realizó clonando las cuentas de correo electrónico de los directivos del grupo. Los pagos requeridos, según detalla un auto del Supremo, superaban el millón y medio de euros, siempre a través de la misma entidad financiera, el BBVA, y con transferencias tanto nacionales como internacionales.
Hasta tres operaciones en el plazo de un mes forman parte de la denuncia del conocido como «fraude del CEO» que destapó Itínere. La primera se detectó el 4 de mayo de 2018, «cuando se remitió un correo electrónico clonado del auténtico director financiero de la entidad a un empleado de Audasa donde se facilitaba una cuenta corriente bancaria ubicada en Hong Kong para el pago de una factura pendiente por valor de 450.000 euros, y en los mismos términos otro correo electrónico para el pago de dicha factura a una dirección del BBVA, pago que no llegó a producirse». Así lo recoge el auto del Supremo.
De Hong Kong a Valencia y Getafe
Días después, durante el mismo mes de mayo, otra vez. De nuevo mediante un correo electrónico clonado supuestamente procedente de una empleada de Audasa que se remitió al email del responsable del departamento financiero de la entidad. En este correo se solicitaba que se facilitara la cuenta corriente de Audasa para el abono de otros 800.000 euros, «cuenta corriente del BBVA de Valencia que fue facilitada, aunque no se llegaron a transferir los fondos», dice el Supremo.
La tercera maniobra que levantó las sospechas, y que finalmente fue denunciada por Itínere, data del 29 de mayo de ese año, «cuando se recibió en la cuenta de correo de una empleada de la entidad un correo clonado de una empleada de otra empresa en la que se recordaba la cantidad adeudada de 292.963 euros y se facilitaba la cuenta corriente de destino del BBVA de Getafe, pago que no se llegó a realizar».
Delito continuado de estafa
El Juzgado de Instrucción número 36 de Madrid decidió incoar diligencias de investigación a la luz del atestado de la Unidad de Investigación Tecnológica de la Policía Judicial. Y todo, como consecuencia de la denuncia presentada por el equipo de Itínere por la comisión de un delito continuado de estafa utilizando el método conocido con la denominación Spear Phising/Busines e Mail Compromise o «fraude del CEO».
Los correos electrónicos clonados corresponden a directivos y empleados que trabajan en la sede que la matriz de Audasa posee en Madrid. La investigación policial ha revelado, según recoge el auto del Supremo que ha dirimido una cuestión de competencias entre juzgados, que las direcciones IP y los dominios utilizados para el clonado están registrados en el extranjero.