«Phishing», la estafa informática que afectó a Baggio y Boca Juniors

¿Qué tienen en común Baggio y Boca Juniors? No se trata de Roberto Baggio, el gran ex futbolista italiano que en 2017 fue al estadio La Bombonera, donde no lo reconoció nadie aunque se declaró hincha del club xeneize, sino de la famosa marca de jugos y bebidas de origen entrerriano.

Tanto esta empresa como el club fueron víctimas en el último medio año de uno de los delitos más comunes basado en las tecnologías de la información y la comunicación: la estafa cibernética, conocida en la jerga como «phishing».

Según me informó la empresa de seguridad informática Kaspersky, cada minuto se registran 49 ciberataques en la Argentina, y en la mayoría de los casos se trata de este engaño digital con el que se intenta convencer a usuarios de registrar sus datos secretos en páginas falsas armadas por piratas informáticos.

El 2 de febrero se hizo pública, a través de una carta publicada en diversos medios, la denuncia que la empresa de jugos RPB (más conocida como Baggio) realizó por la desaparición y supuesto robo de 7 millones de dólares.

Según una solicitada publicada en medios gráficos, el directorio de la firma denunció que la empresa fue víctima de «phishing», pero los accionistas hablaron de un «vaciamiento» que pondría en riesgo miles de empleos: los más de 1500 trabajadores directos y quienes trabajan en sus proveedores.

Víctima de los engaños informáticos, la empleada habría transferido ese dinero a varias cuentas en el exterior, según la denuncia por estafa radicada el 2 de enero en la Comisaría Séptima de la ciudad entrerriana de Gualeguaychú, una causa que investiga el fiscal Guillermo Biré.

La denuncia fue radicada por una empleada de la firma que realizó las transferencias por ese monto millonario en concepto de servicios, como se le habría solicitado a través de mensajes por correo electrónico que provenían supuestamente desde la dirección RPB.

La empresa es manejada por la familia fundadora. María Celia Munilla y Rufino Pablo Baggio crearon la compañía hace 60 años en Gualeguaychú, y al fallecer el segundo, las acciones se repartieron en partes iguales entre sus cuatro hijos, aunque el usufructo fue retenido por la fundadora.

Una de las hermanas vendió su parte a su hermano Rufino, quien detenta ahora el 50% del control de la compañía. Pero María Celia Munilla delegó la gestión en otro de sus hijos, Alejandro, generando así tensiones entre ambos hermanos por la compañía, en la que trabajan más de 1500 empleados, en cinco plantas industriales, y cuya producción se vende en la Argentina y otros 72 países del mundo.

«La estafa, no obstante ser importante, representa un porcentaje no significativo en relación a nuestra facturación mensual, resultando irrelevante para la normal actividad comercial, financiera e industrial de RPB S.A», aseguró la empresa en su solicitada, donde también precisó que «la magnitud económica del hecho representa tan solo el importe de seis días de facturación».

En el caso de Boca Juniors, involucró a este club y a otra entidad deportiva, que fueron víctimas de ciberdelincuentes al ser despojados de un poco más de medio millón de euros en una transacción en la que estuvieron involucradas dos empresas mexicanas y que pone de relieve el riesgo que representan las tácticas de ingeniería social para las organizaciones.

A principios de 2019 se anunció que Leandro Paredes, centrocampista que jugaba en el Zenit de Rusia, había sido transferido al club Paris Saint Germain, lo que involucraba 40 millones de euros.

Según las normas de la FIFA, al primer club de Paredes, Boca Juniors, le correspondía un porcentaje (aproximadamente un 3.5%). En concreto, 1.299.377,48 euros por los derechos de formación.

El Paris Saint Germain y Boca Juniors acordaron el pago en tres cuotas. La primera estaba prevista para el 6 de marzo de 2019, pero el club xeneize nunca recibió los casi 520 mil euros que el club francés aseguró que envió.

Al no verse reflejado el dinero en la cuenta de Boca, en la Bombonera empezaron a revisar los intercambios de correos y documentos que el Paris Saint Germain envió como prueba de haber realizado el pago.

En uno de los documentos adjuntos que confirmaba la transferencia, se descubrieron correos provenientes supuestamente del personal de Boca Juniors que presentaban ligeras modificaciones imperceptibles a simple vista.

Se trataba de una sola letra que diferenciaba la dirección del correo electrónico fraudulento del legítimo.

Las instrucciones que llegaron desde estas direcciones ficticias contenían datos falsos.

Tras analizar los documentos, Boca Juniors descubrió que su dinero había pasado primero por una cuenta bancaria de la ciudad estadounidense de New York que pertenecía a una empresa mexicana llamada Vector Casa de Bolsa y que luego se envió a México, esta vez a una cuenta bancaria de la compañía OM IT Solutions S.A. de C.V., empresas desconocidas para el club xeneize.

El robo fue denunciado por Boca durante la gestión de Daniel Angelici, cuyo sucesor, Jorge Amor Ameal, acusó en diciembre de 2019 en una conferencia de prensa:

«Descubrimos que hay 600 mil euros (sic) que deberían haber entrado y se los llevó un hacker. No había información y el periodismo tiene derecho a la información, así como también lo teníamos nosotros», argumentó Ameal, quien entregó el siguiente papel donde la cifra es de medio millón de euros:

«Fraudes financieros como este dejan ver el gran trabajo de planeación por parte de los cibercriminales. La ingeniería social involucra una serie de técnicas, como el phishing, que aparentan provenir de entidades legitimas para obtener información sensible de sus víctimas o para convencerlos a realizar algún tipo de acción que comprometa su sistema», señaló Roberto Martínez, analista senior de seguridad en Kaspersky Lab.

«Las consecuencias de tales ataques pueden ir desde la pérdida de dinero hasta el compromiso de toda una red corporativa», advirtió el especialista.

Puedes leer más sobre este tema en la nota propia publicada en iProfesional aquí.

Deja un comentario