La delincuencia digital no entiende de límites y mucho menos de sectores a los que perjudicar. En la provincia de Ourense, el crecimiento de los delitos cometidos a través de medios telemáticos refleja una tendencia que preocupa tanto a las autoridades como al tejido empresarial. El último caso de un ciberataque con un troyano ha sido igual de rápido que de eficaz.
La rapidez con la que se mueven hoy los fondos bancarios es una ventaja competitiva, pero también un riesgo cuando los sistemas son vulnerados.
Eso fue lo que experimentó un concesionario oficial de vehículos de la provincia, que vio desaparecer 5.000 euros en cuestión de segundos tras una transferencia que nadie en la empresa reconocía haber autorizado.
El auge del fraude informático en Ourense
Las estadísticas del Ministerio del Interior sitúan a Ourense entre las provincias donde los delitos digitales han ganado más peso en los últimos años.
Cerca de una cuarta parte de las infracciones penales denunciadas tienen ya su origen en Internet o en el uso de herramientas telemáticas. Solo entre enero y septiembre de 2025 se registraron 1.509 estafas informáticas, lo que supone un aumento del 16,2% respecto al mismo periodo del año anterior.
Este incremento sostenido confirma que el fraude online se ha profesionalizado y que los ataques ya no se dirigen únicamente a grandes corporaciones.
Las pequeñas y medianas empresas se han convertido en objetivos habituales por manejar cuentas con movimientos frecuentes y, en muchos casos, con sistemas de seguridad básicos que pueden ser burlados por software malicioso avanzado.
Una transferencia que nadie autorizó
Este hecho, que ha salido a la luz pública tras su paso a los tribunales, tuvo lugar el 30 de octubre de 2020. Desde una cuenta bancaria del concesionario salió una transferencia de 5.000 euros hacia una destinataria que no figuraba entre los clientes ni proveedores habituales.
La operación se realizó desde la misma dirección IP que utilizaba la empresa en su actividad diaria, lo que hizo que inicialmente pasara inadvertida.
Días más tarde, al revisar los extractos, la responsable de la contabilidad detectó el movimiento y comprobó que no había sido ejecutado por ella ni por el gerente.
La sorpresa fue mayor al descubrir que la cuenta utilizada para ordenar el pago era una cuenta puente reservada al comercio internacional, que nunca se empleaba para realizar cargos.
El rastro de un troyano invisible
Ante la sospecha de un acceso no autorizado, la empresa de Orense encargó una auditoría informática. Y el análisis reveló la presencia de un troyano instalado en el ordenador de la contable un día antes de la transferencia.
Este tipo de software permite capturar credenciales bancarias y datos sensibles sin que el usuario sea consciente, incluso cuando el equipo cuenta con antivirus y medidas de protección estándar.
El gerente explicó que, tras el incidente, se localizó un segundo archivo de características muy similares, lo que apuntaba a un nuevo intento de fraude que no llegó a materializarse.
Este hallazgo reforzó la idea de que el ataque no fue casual, sino fruto de una acción planificada con conocimientos técnicos suficientes para esquivar los controles habituales.
El banco rechaza asumir el perjuicio
La empresa afectada presentó una reclamación ante la entidad financiera con la que operaba, solicitando la recuperación del dinero. Sin embargo, el banco rechazó hacerse cargo del importe perdido.
Su argumento se basó en que la orden de transferencia se había realizado desde una IP habitual del concesionario y no presentaba anomalías técnicas en el momento de su ejecución.
Esta negativa dejó al negocio asumiendo en solitario el impacto económico del fraude, además del coste adicional derivado de la contratación de nuevos servicios de seguridad informática para evitar futuros ataques de características similares.
Investigación judicial y responsabilidades penales
La denuncia fue tramitada por la Policía Judicial de la Guardia Civil, que analizó la transferencia, incorporó el informe pericial al atestado e identificó a la titular de la cuenta receptora del dinero.
Se trataba de una joven venezolana, única beneficiaria del ingreso, que fue juzgada en ausencia al no acudir a la vista pese a estar citada.
La Fiscalía sostiene que la acusada actuó en connivencia con otras personas no identificadas y solicita una pena de once meses de prisión por un presunto delito de estafa.
La defensa, por su parte, reclama la absolución al considerar que no existen pruebas directas que vinculen a su clienta con la ejecución técnica del ataque y, de forma subsidiaria, solicita la aplicación de una atenuante por dilaciones indebidas, a lo que el Ministerio Público se opone.
Durante el juicio, los investigadores explicaron que los troyanos permiten operar desde el propio equipo de la víctima, lo que dificulta enormemente la detección inmediata del fraude. Un mecanismo silencioso que, como demuestra este caso, puede provocar pérdidas significativas en apenas unos segundos.
