El Ayuntamiento de Torre Pacheco se convirtió en marzo de 2024 en víctima de un sofisticado ataque de phishing realizado por un ciberdelincuente que culminó con el robo de 450.000 euros destinados al pago de una factura de suministro eléctrico. La empresa afectada, CEGM SL, era la encargada de proveer electricidad al municipio.
El atacante, suplantando su identidad, manipuló los datos de pago y desvió la transferencia a una cuenta bancaria creada específicamente para llevar a cabo el robo. La suma sustraída podría volver a las arcas municipales en breve, según informa La Verdad, pues, según las investigaciones, gracias a la rápida denuncia y actuación del Grupo de Delitos Telemáticos de la Guardia Civil.
Phishing: el vector de ataque
El phishing es un método común entre los ciberdelincuentes para suplantar identidades y lograr acceso a cuentas o credenciales sensibles, y este caso no fue una excepción. Mediante ingeniería social y aprovechando canales de pago públicos y verificados como el Punto General de Entrada de Facturas de la Administración General del Estado (Face), el delincuente pudo infiltrar una cuenta bancaria distinta a la habitual, enmascarando el cambio en la solicitud de transferencia. Aunque el Ayuntamiento exigió un certificado bancario que confirmara la titularidad de la cuenta, el atacante logró sortear esta medida de seguridad mediante la apertura de una cuenta en una entidad bancaria europea bajo el nombre de la compañía CEGM SL, cumpliendo con todos los requisitos solicitados para suplantar con éxito a la empresa legítima.
La denuncia inmediata presentada ante la Guardia Civil desencadenó una investigación que, en cuestión de días, permitió que el Consistorio confirmara el fraude. La Guardia Civil trabajó en coordinación con otros organismos nacionales de ciberseguridad, como el Instituto Nacional de Ciberseguridad (Incibe) y el Centro Criptológico Nacional (CCN), que han permitido avanzar en la recuperación del dinero. Según fuentes de la investigación, el reembolso de la suma está cada vez más cerca, aunque las autoridades municipales insisten en la “prudencia” hasta que el proceso finalice y los fondos sean devueltos.
Medidas de seguridad en entredicho
Este caso ha sacado a la luz los riesgos y vulnerabilidades asociados a la digitalización de los sistemas administrativos y la dependencia de intermediarios electrónicos para el procesamiento de pagos. Si bien el uso de plataformas como Face permite centralizar la gestión de facturas y facilita la transparencia, también representa un canal donde los ciberdelincuentes encuentran puntos de entrada para vulnerar los sistemas.
Desde Torre Pacheco, se han lanzado nuevos protocolos de validación para las transferencias de grandes sumas, como la verificación directa y adicional de cada cambio en la información de pago, con el objetivo de evitar futuros incidentes. Estos cambios se alinean con las recomendaciones de organismos de ciberseguridad que han observado un aumento en los casos de fraude a través de suplantación en el ámbito de las administraciones locales.
El impacto de los ciberataques en la administración y el ciudadano
Más allá de la pérdida monetaria, los ciberataques tienen un impacto en la confianza de los ciudadanos en la administración. En Torre Pacheco, el caso de phishing fue seguido de cerca por el público y los medios locales, y cada nuevo avance en la investigación es un recordatorio de que los ciberdelincuentes no solo causan daños económicos, sino que también afectan el tejido social al vulnerar la transparencia y la fiabilidad de los organismos públicos.
La localidad de Torre Pacheco fue informada en todo momento de los avances del caso, y el Ayuntamiento organizó reuniones con grupos políticos y representantes vecinales para explicar las acciones en curso y tranquilizar a los ciudadanos. Esta transparencia en la comunicación y el compromiso de tomar medidas preventivas han sido clave para mitigar el impacto reputacional del incidente.