El caso ha generado preocupación sobre la seguridad en las plataformas digitales utilizadas por entidades públicas. A la Municipalidad de Sullana le sustrajeron S/ 1 270 000 y a la de Yura, S/ 1.5 millones de las cuentas gestionadas a través de la plataforma Multired Empresarial del Banco de la Nación.
Solo bastaron sendas llamadas telefónicas para conseguir el acceso a las cuentas bancarias de dos municipalidades que se gestionan a través de la plataforma Multired Empresarial del Banco de la Nación y robar más de S/ 2.2 millones. La Municipalidad Provincial de Sullana (Piura) y la Municipalidad Distrital de Yura (Arequipa) fueron víctimas de la delincuencia que usa la tecnología digital para hacer de las suyas.
En ambos casos, los ciberdelincuentes se hicieron pasar por trabajadores del banco estatal para solicitar a los funcionarios municipales encargados de las finanzas los códigos de verificación para supuestamente “desbloquear” los accesos. Fue así que transfirieron dinero a cuentas de terceros.
SULLANA
En el caso de Sullana, entre el 30 y 31 de julio, los delincuentes realizaron tres transferencias irregulares por un total de S/ 1 millón 270 mil. Según la propia municipalidad, el fraude comenzó a gestarse el 25 de julio cuando una de las cuentas fue bloqueada.
Lo que llama la atención es que, si bien los propios funcionarios municipales comunicaron el hecho al Banco de la Nación de Sullana y al área de soporte de Lima, no obtuvieron respuesta. Tuvieron que ir a Piura para recién ser tomados en cuenta.
El que si llamó al jefe de la Oficina General de Administración de la MPS fue un tal Raúl Palacios Cárdenas, supuesto supervisor del área de atención al cliente del Banco de la Nación, desde el número 918008823 para solicitar los códigos de verificación y así «restablecer» el acceso a la plataforma.
El robo no se concretó ese día ya que los códigos de verificación adicionales requeridos se encontraban en el dispositivo del jefe de Planeamiento y Presupuesto, quien no respondió a las llamadas. Pero, los días 30 y 31 de julio el estafador volvió a la carga y ahí convenció a ambos funcionarios municipales de entregar los códigos de verificación enviados por SMS y por correo institucional, con el mismo argumento de generar nuevas claves de acceso.
Ya con esa información, los delincuentes realizaron tres transferencias a cuentas de terceros. La primera por S/ 250,000.00 y otras dos: una de S/ 900,000.00 y otra de S/ 120,000.00, todas hacia una cuenta Interbank a nombre de Pérez Collantes Edwin Antioquía.
El alcalde de Sullana Marlem Mogollón aseguró que los ciberdelincuentes accedieron a las cuentas municipales sin necesidad de contraseñas institucionales, obteniendo información clave a través de métodos de suplantación. “Que quede claro: no hubo un jaqueo o vulneración del sistema informático de nuestra municipalidad. El robo se produjo por la vulneración en la Plataforma MultiRed Empresas del Banco de la Nación, donde tenemos nuestras cuentas”, indicó la autoridad.
¿Qué acciones tomó la MPS? El alcalde Mogollón dispuso el cese de los funcionarios municipales involucrados por presunta negligencia y responsabilidad directa al facilitar información confidencial. También se les inició procedimiento administrativo y su inclusión en la investigación penal, evaluándose más destituciones en áreas estratégicas.
La MPS presentó la denuncia ante el Departamento de Investigación Criminal (Depincri) de Sullana, y el alcalde solicitará la intervención de la Fiscalía de Crimen Organizado en Sullana y Lima. También solicitó la inclusión del Banco de la Nación en la investigación penal por el robo cibernético que sufrió dicha comuna.
El comunicado de la MPS que da más detalles del robo cibernético:
YURA
Un caso similar ocurrió el 24 de julio en la municipalidad distrital de Yura, en Arequipa, donde el monto robado ascendió a S/ 1.5 millones. Según informa la prensa arequipeña, el gerente municipal, Miguel Vilca, detalló que los estafadores, haciéndose pasar por personal de la entidad bancaria, convencieron al gerente de Administración y a la tesorera para entregar claves de acceso a las cuentas institucionales, bajo el pretexto de que estas estaban bloqueadas por “motivos de seguridad”.
Los fondos —provenientes del canon minero, programas sociales y tributos municipales— fueron transferidos en tres operaciones hacia cuentas de empresas ubicadas en Trujillo, en el norte del país.
La municipalidad denunció el caso ante la División de Investigación de Delitos de Alta Tecnología (Divindat) de la Policía Nacional.
La municipalidad informó del hecho a la opinión pública mediante un comunicado en el que no dio mayores detalles.
¿QUÉ DICE EL BANCO DE LA NACIÓN?
El Banco de la Nación emitió un escueto comunicado en donde afirma que está colaborando con las autoridades competentes y ha iniciado las investigaciones internas a fin de esclarecer los hechos.
Afirma que serán las autoridades las que confirmarán si se trata de un caso de suplantación de identidad, en el que un tercero, haciéndose pasar por funcionario del banco, habría inducido a personal del municipio a entregar información confidencial y aseguró que sus sistemas no fueron vulnerados en ningún momento.
También invocó a todos los representantes de las entidades públicas y privadas que se encuentran autorizados a operar en el canal digital Banca Empresarial a tener especial cuidado con los accesos (usuario y clave) que se les brinda para ingresar a dicha plataforma. Asimismo, recordó que el Banco de la Nación nunca solicitará claves, códigos ni contraseñas por teléfono, correo electrónico, mensajes de texto ni por ningún otro canal de comunicación.
DATOS
El código de verificación temporal, solicitado por los estafadores, no es lo mismo que la clave de acceso permanente. Mientras la clave funciona como una contraseña de ingreso, el código de verificación es una clave de un solo uso que se genera para validar operaciones específicas, y suele enviarse a dispositivos móviles o correos electrónicos registrados.
La cuenta que recibió los S/ 250,000.00 aún mantenía S/ 249,000.00 y fue bloqueada. Las otras transferencias (900,000 y 120,000) ya habían sido retiradas.