25 de mayo: el pueblo al que le robaron $ 3,5 millones con un aviso en Google
Parecía un día más. Un día alegre, en realidad, para este municipio de 40 mil habitantes. Porque en el partido de 25 de Mayo, a 220 kilómetros de la Capital, después de mucha insistencia recibían una ambulancia para Norberto de la Riestra, una de las localidades de este partido bonaerense. Un pedido que el intendente Hernán Ralinqueo había solicitado hacía tiempo y que llegaría temprano ese día.
La Municipalidad
Aquel lunes 21 de noviembre de 2016, Roberto Testa, el tesorero del municipio, entró a trabajar a las 8 de la mañana en 25 de mayo, la ciudad que es cabecera del partido homónimo y que crece junto a la laguna Las Mulitas. A las 10, como todos los días, fue al Banco Provincia. Pidió que le imprimieran un resumen con todos los movimientos de las cuentas bancarias. Y volvió antes de que sus compañeros lo acusaran, en broma, de perder tiempo en el bar de enfrente. “Hasta esa mañana. Ahora le pedimos que vaya siempre y que se quede el tiempo que quiera”, sonríe Marta Ticera, Secretaria de Hacienda.
Testa fue el héroe. Ese día detectó, con su ojo prolijo de 32 años de carrera, que algo no andaba bien. “Empiezo y veo en el resumen que teníamos una transferencia por 100 mil pesos, otra por 90 mil. Me fui corriendo a lo del contador a comprobar por qué habíamos hecho esos movimientos”, explica. Transferencias con doble cero al final: demasiado redondas. Dejó la birome, pero no el enorme talonario, y atravesó el hall principal de la municipalidad hasta llegar al otro costado del edificio, esquivando cajas con documentos y algunos monitores de tubo.
El Home Banking
Paolo Salinas, el contador hace 18 años y encargado de emitir los pagos, giró su mirada hacia la puerta de la oficina para recibirlo. Escuchó a Testa y de inmediato se metió en las cuentas de home banking con su computadora. Salinas es el único que sabe las claves. Y no las anota en ningún lado, “por seguridad”, dice. “Están en mi cabeza”, acota.
No recuerda específicamente el proceso de ese día, pero por lo general busca “Banco Provincia BIP” (Banca Internet Provincia) en Google, hace clic en el primer resultado, ingresa las claves y empieza a revisar las cuentas. “En ese momento me decía que había un usuario más adentro al mismo tiempo que yo”, recuerda. Le preguntó a Romina Mancha, la subcontadora, si era ella. “No”, le contestó Mancha desde el otro lado de la oficina, mientras dejaba su silla y se acercaba a la PC de Salinas. Ya eran tres viendo el mismo LCD. “Veíamos más y más transferencias de proveedores por valores muy grandes, lo veíamos todo en directo”, recuerda.
Mancha dejó el monitoreo y fue corriendo hasta la oficina de Ticera, la Secretaria de Hacienda, quien a esa hora estaba reunida. No golpeó la puerta cerrada para entrar. “Me interrumpe y me dice: "nos están robando, nos están robando". Entonces miré alrededor para buscar un revólver, un ladrón. Pero no había nadie. "¡Nos están sacando plata de las cuentas!", me aclara la subcontadora. No entendía nada. Dejé la reunión y corrimos nuevamente a contaduría”, recuerda. Ya con el doble chequeo, fueron a buscar al Intendente: “Salimos disparadas”.
La plaza
"Entraron corriendo y empezaron a hablar al mismo tiempo. No les podía entender bien lo que pasaba, me decían que se estaban robando la plata. Les dije que no, que era un error. Les pedí que fueran rápido al Banco Provincia", recuerda Hernán Ralinqueo, intendente (Frente para la Victoria) desde el 10 de diciembre de 2015. Ticera juntó a Salinas, a Testa y a Cristian Farina, secretario de Ralinqueo, y salieron corriendo al Provincia. Antes imprimieron en papel todos los movimientos del Home Banking.
Cruzaron a toda velocidad los 100 metros de la Plaza Mitre que separan la municipalidad de la sucursal 6406. Malas noticias: el gerente estaba de vacaciones. La primera reacción del otro lado de mostrador, encima, los exasperó: "llamen al 0800". "¡Llamen al Banco Central! ¡Emitan una alerta roja!", les gritó Ticera, desesperada. Les dijeron, entonces, que nunca les había pasado algo similar. "¡Pero les está pasando ahora!", los volvió a increpar Ticera. Volvieron frustrados a la municipalidad. Ralinqueo pidió denunciar inmediatamente el hecho en la comisaría, que está al lado del municipio. Lo hicieron. Y volvieron una y otra vez al banco para insistir, al menos, con el bloqueo de cuentas.
Tres millones y medio
El intendente, de 32 años (nació un mes antes de que Testa entrara a trabajar al municipio), todavía no salía de su asombro. Le pidió a Salinas que le mostrara lo que estaba sucediendo. Otra vez. Se dieron cuenta que habían aparecido más transferencias, todas hechas a proveedores no habituales del municipio. "Cada segundo que pasaba perdíamos más plata”, rememora. A esa altura, casi el mediodía de ese lunes fatídico, ya había 3 millones y medio menos de pesos en las arcas municipales: el 1 por ciento del presupuesto anual de 25 de Mayo se había evaporado en una mañana.
"Y teníamos miedo que esto estuviera pasando en el resto de la provincia y que nos estuvieran robando a todos”, acota Ralinqueo. “El comisario no entendía: acá se roban vacas, un auto, una bicicleta, pero nunca había escuchado de un hackeo”, describe el intendente.
Entonces, recibieron al menos una buena noticia: lograron que les bloquearan las cuentas. Eran poco más de las 12.
En el BIP seguían viendo los intentos de transferencia. “Operación denegada”, una y otra vez. "Incluso probaban con proveedores habituales para ver si era una cuestión solamente con los nuevos", rememora el contador Salinas. "Si no hubiera ido Roberto al banco...", insiste Ticera. “A mí me gusta el papel. Para eso voy todos los días, por suerte tengo vía libre y no hago cola. En una época había que sacar número y perdía tiempo. Ahora me dan los saldos directamente y alrededor del mediodía los veo. Ese día no: lo vi más temprano, fue pura casualidad y por suerte pude detectarlo”, se enorgullece Testa.
Pesca con mediomundo
Juan Ignacio Bidone es fiscal de investigaciones complejas del Departamento Judicial de Mercedes. A esta altura, tiene muy claro lo que pasó. La secuencia del robo de 3 millones y medio pesos al municipio de 25 de Mayo, dinero que luego fue extraído de diferentes cuentas, se realizó mediante phishing: una forma de engaño informático con la que se logra que un usuario revele información personal. Los ciberdelincuentes crearon un sitio falso similar al de la Banca Internet Provincia, también conocido como BIP por sus iniciales. Era idéntico al verdadero, pero con un detalle: la dirección, que obviamente no puede ser la original. Suplantaron la a por la s, para hacer más imperceptible el cambio, y montaron un sitio en la dirección bancsprovincia.bancsinternet.com.ar.
Para lograr que alguien visitara ese sitio pensando que estaba entrando al Banco Provincia aplicaron una técnica llamada black hat SEO: una estratagema que desafía las reglas para lograr escalar posiciones en los listados de Google. En este caso, contrataron el servicio publicitario de AdWords; eso fue determinante, ya que lograron hacer que ante una búsqueda en Google de la frase “Banco Provincia BIP” el sitio falso que crearon apareciera como primer resultado. “Lo publicitaron para que se viera solo en algunas zonas de la Provincia de Buenos Aires”, explica Bidone. Según las investigaciones, el aviso estuvo activo desde el 17 de noviembre. En esos días algunos cayeron. “Tiraron un mediomundo y pescaron”, cree Bidone. En el expediente figura la imagen de la publicidad falsa.
Cuando alguien entraba, en el sitio falso se le pedía el nombre de usuario y la clave para ingresar a las cuentas del banco. Capturaba la información y luego redirigía al verdadero sitio BIP para no despertar sospechas. El contador Salinas, que siempre ingresa desde Google, recuerda que algunas veces le pasó que, tras hacer alguna operación, “la computadora se colgaba o tenía que repetir la operación como si no hubiera hecho nada”. Así -estima la fiscalía- los delincuentes se hicieron de las contraseñas, la única credencial necesaria para realizar la operación.
Dos Pymes de Rojas (otro municipio del noroeste bonaerense) y otras dos de La Plata también cayeron en la misma trampa. Esas causas fueron anexadas a la investigación. Las Pymes perdieron entre 200 y 300 mil pesos. Por otro lado, ya hubo un pedido de oficio a Google para determinar qué tarjetas de crédito utilizaron para contratar los servicios de esos enlaces patrocinados. La otra parte, aún misteriosa, es por qué aparece en el resultado un link a jorgelarranaga.com, una zapatería española que para los investigadores pudo haber servido para engañar al buscador y poder lanzar la campaña.
El Banco Provincia
Los delincuentes iniciaron las transferencias el domingo 20 a las 21.16. Para ello, enmascararon su localización. Las direcciones IP (una huella digital que en determinadas ocasiones permite determinar desde qué lugar físico entra un usuario a un sitio) que figuran en los registros del Banco Provincia indican que los depósitos se hicieron desde diferentes zonas de Bolivia y Estados Unidos.
Tanto las empresas como el municipio recuperaron los recursos. En el caso de 25 de Mayo fue al viernes siguiente. El Banco Provincia se hizo cargo de todas las devoluciones. Y a los 3 días del ataque informático, el banco obligó a cambiar la seguridad de la Banca Empresaria y agregó un sistema de generación de tokens (una segunda clave, autogenerada con una validez de tiempo acotada) para transferir dinero, que hoy sigue vigente. “Ya estaba implementado, pero hasta ese momento era optativo y por comodidad muchos clientes no lo estaban utilizando”, se defendieron desde el Banco Provincia.
Y respondieron ante la consulta: “Banco Provincia no tuvo ninguna responsabilidad en el siniestro y entiende que este ocurrió por la carencia de medidas de seguridad informática del municipio. A partir del incidente, la entidad generó nuevas medidas de seguridad para prevenir que se repitan ilícitos electrónicos similares. No como admisión de la falencia de su sistema, sino como el reconocimiento de que algunos de sus clientes no contaban con firewalls adecuados”, explicaron en un comunicado.
Las primeras sospechas
“Nosotros lo primero que pensamos era que el banco nos había robado”, admite Ralinqueo. Y más con la coincidencia del gerente de vacaciones. “Después empezamos a ver el listado de personas jurídicas a la que les habían hecho la transferencia y los empezamos a buscar en Google y en Facebook. Creíamos que eran personas falsas, pero no; junto con el comisario verificamos que las personas existían”, cuenta.
Pero cuando la noticia se conoció en el pueblo las sospechas también recayeron sobre el Intendente. “Acá me quisieron interpelar y la oposición se encargó de difundir que yo me había robado la plata”, acusa. El FPV tiene minoría (4 de 16) en el Concejo Deliberante. “Querían desgastarme”, intuye. En redes sociales las acusaciones se acumulaban. La UCR local pedía que se “revelara la lista completa de las cuentas a las que habían transferido el dinero”. Una alianza con el Frente Renovador hizo caer la iniciativa.
El intendente también tenía su intuición: en su primera intervención después del robo, hacía mención a una intencionalidad política, agregando que “hubo una pata local” y que “son muchas las operaciones políticas que sufrí desde un sector de la oposición ante cada gestión que hacemos”. Incluso, Ralinqueo llegó a sospechar de una notebook con información sustraída del municipio, apenas unos días después de haber asumido en reemplazo de la gestión anterior, perteneciente a la Coalición Cívica. Hoy, si bien no descarta del todo esa teoría, cree que ya quedan pocas dudas: la estafa llegó con ese anuncio falso de Google.
Famosos y desconocidos
En la investigación penal preparatoria 090015772-16 hay 23 personas imputadas, con diferentes grados de participación. Tres de ellas aún no fueron halladas para tomarles declaración. El principal acusado, Nicolás Traut, se casó el 7 de diciembre con la mediática cantante Laura Miller. Uno de sus invitados, Jorge Chourrout, era el titular de una de las cuentas a las que se transfirió dinero desde 25 de Mayo.
A partir de la intervención telefónica de las líneas de Chourrout, la fiscalía llegó a Traut, oriundo de Las Flores, quien hasta ese momento era conocido por ser piloto de la categoría Super TC 2000 de automovilismo, aunque no corría desde mayo. Antes, había participado de las Clases 2 y 3 del Turismo Nacional. Vivía en la Torre Le Parc de Puerto Madero.
De los 3.522.300 pesos, transferidos en 20 operaciones, el Banco Provincia logró recuperar 452.800 pesos. En total, hubo 14 depósitos más que se intentaron hacer y que no pudieron concretarse, gracias al bloqueo a tiempo de las cuentas del municipio. Un retiro en el Banco Provincia de Quilmes llegó a realizarse minutos antes del bloqueo, pero el gerente logró dar con la persona, quien devolvió el dinero de inmediato.
La fiscalía de Mercedes cree que hubo tres escalones en la operatoria: la gente que tuvo el conocimiento técnico para hacer esto, de los que hay pistas pero no nombres; la parte logística de apertura (que habría liderado Traut con Chourrout y Ramón Javier Alvez) y el préstamo de cuentas; y las “mulas”, los encargados del retiro del dinero, quienes se quedaban con 10 mil pesos por la “ayuda”.
Una causa que se hizo pública
Ralinqueo cree que hubo intencionalidad política. “Esto no te lo hace un salamín. Tienen que tener información buena. Y esa información se busca en lugares. Es como los viejos robos, donde había alguien de adentro que cantaba. Alguna información les tienen que haber pasado, esto no se puede hacer al voleo”, sostiene. Y cree que Jorge Corbetta, un hombre político de Las Flores (a quien Traut y Chourrout mencionan como “Jorgito” en conversaciones en poder la Justicia) pudo haber estado detrás, aunque por ahora ese nombre es descartado en los 12 cuerpos, cada uno de 200 fojas, del expediente.
Al intendente, apenas la causa tomó rigor mediático en abril de este año, lo llamó Miller, ya divorciada, y se puso a disposición. “Me querían cruzar al aire en distintos programas, pero siempre dije que no”, afirma. En la causa, caratulada como Traut, Nicolás y otros sobre fraude en perjuicio de la Administración Pública, no hay detenidos. Traut estuvo privado de su libertad poco más un mes y salió con una caución de 3 millones de pesos y la condición de presentarse una vez al mes ante las autoridades. Su pena máxima podría ser de 6 años de prisión. La causa sigue en pie, con el Municipio y el Banco como principales damnificados.
A diferencia, claro, de otras investigaciones similares que caen por falta de denunciantes; en general se “resuelven” una vez que los bancos devuelven el dinero robado. En este caso no: por la necesidad del intendente Ralinqueo de demostrar su honestidad en la opinión pública y por tratarse de un caso que explotó mediáticamente.
Otros casos, con perfil bajo
Horacio Azzolin, de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), que depende de la Procuraduría General de la Nación, explica también por qué se caen este tipo de causas. “En la mayoría de los casos, los bancos no hacen la denuncia y ni siquiera alientan a las víctimas a que lo hagan. Lo resuelven administrativamente”, explica. “Es para no generar mala publicidad, para que la gente no tenga miedo de usar las plataformas en línea. Evitan visibilizar. Pero no es algo exclusivo de la Argentina; es una realidad mundial. Como la nafta, el toner de las impresoras o los productos de limpieza, el fraude bancario lo toman como parte de sus costos operativos”, describe.
“Nosotros lo entendemos al revés: que lo impulsen puede ser un signo de madurez porque las empresas se dividen entre las que fueron hackeadas y las que no lo saben. El silencio envalentona a las organizaciones criminales: se hacen de dinero sin violencia, a distancia y sabiendo que la posibilidad de que los investiguen es mínima”, completa.
¿Y qué ocurre con las “mulas”? En esos casos, la Justicia demora la investigación, porque esas cuentas se encuentran distribuidas por distintas partes del país, por lo que lleva tiempo unificar todas las causas en un solo juzgado; a la vez, quienes reciben ese dinero ya tienen lista la coartada. En algunos casos, hasta fueron víctimas: se defienden y argumentan que le prestaron la cuenta a un amigo y que desconocen el origen; que no estaban enterados y que les abrieron la cuenta con documentos falsos; y otros solo explican lo que sucedió: les transfirieron plata como parte de una operación de compra-venta.
BIP en Google
En la causa, un motivo más hace demorar la investigación: el pedido de oficio al exterior para que Google pueda informar quién pagó el aviso patrocinado. Aún no hay novedades. Y el juicio oral ya no será este año.
La vida en el municipio, mientras, sigue. Desde aquel día, el del hackeo a las cuentas de 25 de Mayo, a Roberto Testa, el tesorero, nunca más le tomaron el tiempo -ni en broma- cuando va al Banco Provincia. Paolo Salinas sigue entrando al BIP a través de Google, pero ahora se siente más seguro con el token. El intendente Ralinqueo dice que nunca más usó Home Banking. Que prefiere ir al cajero incluso para una transferencia.
En 25 de mayo algunas cosas cambiaron y otras no ese 21 de noviembre de 2016. Una jornada que ayudó visibilizar una trama de ciberdelincuencia que combinó la fragilidad de un municipio bonaerense con una compleja ingeniería difícil de resolver para la Justicia. En el pueblo difícilmente olviden lo que pasó. Y quizás pocos recuerden que ese día también llegó una ambulancia a Norberto de la Riestra.
Otras noticias de Seguridad informática
Más leídas de Tecnología
En enero. ChatGPT prepara una función clave para transformarse en un verdadero asistente
Para incentivar más descubrimientos. Cómo funciona la nueva IA de la Nasa que recopila toda la información científica de la Tierra
Darío Werthein, presidente de Vrio Corp. “Ya estamos en el nuevo mundo que nos impone la IA”
Seguridad. Las tres nuevas herramientas de Google para proteger tu celular si te lo roban