Cómo se gestó la estafa a Boca por el pase de Leandro Paredes al PSG

Boca debía cobrar la primera cuota del pase de parte del Paris Saint Germain francés por la compra de Leandro Paredes al Zenith. En total, eran 519.750,99 euros en concepto de "contribución de solidaridad" (en la jerga le suelen decir derechos de formación). Sin embargo, el dinero no llegaba; Boca incluso amenazó con ir a la FIFA con el reclamo. Pero no hubo mala voluntad: el equipo francés había pagado. El punto clave: hizo el depósito en una que simulaba ser la del club xeneize.

Mails cruzados y algo más

José Luis V., abogado y encargado de la gestión por el cobro de los derechos, estaba en conversaciones con el PSG. Todo iba bien: cruces de mails con las condiciones y fijar la fecha de la transferencia. Había acuerdo. Copiados estaban también los agentes FIFA autorizados por Boca para la transacción, como parte de un pedido de la institución donde juegan Neymar y Ángel Di María.

El 22 de marzo, unos días después del último contacto, el representante francés confirmó que la transferencia había sido efectuada y que los fondos se acreditarían en el término de 5 a 7 días hábiles. Pero pasaron varios días y nada: los euros no aparecían en la cuenta que Boca tiene en el Banco Macro.

La Gerencia de Finanzas actualizaba el estado de cuenta y todo seguía igual. El Macro, mientras tanto, confirmaba que no había registrado ningún movimiento. El emisario francés insistía que sí, que la transferencia había sido concretada y que se había hecho "siguiendo las recomendaciones" del abogado.

La plata había viajado. Pero había sido transferida a otra cuenta. Según la información que mandaron desde Francia, la transferencia se realizó a la cuenta bancaria Nro. 088001148134. No es la de Boca: pertenece a la empresa "OM IT Solution SA de CV", radicada en México. Los fondos por la transferencia de Paredes llegaron ahí luego de pasar por la entidad bancaria Citibank (a través de la cuenta nro 36885306 que figura a nombre de la firma "Vector Casa de Bolsa SA"), ubicada en Nueva York, Estados Unidos, que habría oficiado como banco corresponsal para la materialización de la transferencia.

Todo esto se había hecho siguiendo ese pedido del abogado, que eran ni más ni menos que la "modificación de la cuenta para el pago".

Las hipótesis

Según pudo reconstruir LA NACION, en base a expedientes y datos que están en la Justicia, todavía no está claro cómo fue que en Francia recibieron los datos de la cuenta mexicana, que no es de Boca. En principio, el abogado necesitaba la información de la gerencia de finanzas, con el documento firmado por el Banco Macro; esperaba ese archivo de Word para reenviarlo.

Hay algunas hipótesis que se barajan: la primera es que pese a haber hecho "reenviar" alguien podría haber interceptado ese mensaje. Otra opción es que una vez enviada ese mensaje de la cuenta verdadera, los delincuentes informáticos hayan logrado tener acceso a esa casilla del empleado de Boca, hayan hablado en su nombre y "advertido" a los franceses de un "cambio a último momento" sobre la dirección a la cual transferir.

Hay un dato adicional para esta hipótesis: las investigaciones dieron cuenta de un mail falso con documentación del "Banco Macro" que una cuenta falsa @bocajuniors.com.an (y no .ar, como es la dirección verdadera), igual a la de una compañera de V., llegó a su casilla a la carpeta Spam, con un documento adulterado, parecido al del Macro, para transferir al banco mexicano. Esa info pudo haberse reenviado al Paris Saint Germain desde la cuenta real. Todo aún está bajo investigación.

De lo que sí hay certezas es que hubo "terceros" metidos en la conversación por mail. El 24 de abril, tras reclamos con el club francés y amenazas de ir a la FIFA, en el Xeneize recibieron un correo del PSG con ocho archivos adjuntos que contenían intercambios de mails y documentos privados que V. desconocía. Alguien había hablado en su nombre. Ahí figuraba el destino solicitado para el dinero: la cuenta de OM IT Solution SA de CV. Y se sumaba un condimento esencial: extrañamente eran conversaciones en las que ya no estaban copiados los agentes FIFA autorizados por Boca, un pedido que había partido de la propia institución francesa desde el principio. El falso intermediario estaba solo del lado de Boca.

Reglas para que no se entere de nada

Por otro lado, en sistemas del club descubrieron que la cuenta de V. había sido intervenida. Le establecieron unas reglas (un mecanismo que gestiona automáticamente los correos electrónicos) para evitar que recibiera correos electrónicos relacionados con el pago del pase del mediocampista. Es decir: primero le usurparon la cuenta; y luego la aislaron del tema.

Mensajes que contenían la palabra Paredes eran directamente enviados a la carpeta "archivados". Lo mismo sucedía con todos los que estuvieran titulados como: Solidarity_paredes.pdf, Wire Info, Banking Information, Bank Details, Wire Instructions, entre otros. Cualquier mail vinculado al @PSG se archivaba. Y otros que venían de Boca se reenviaban directamente a otra cuenta por fuera de la institución. Las pericias informáticas realizadas en el club determinaron al menos 19 reglas configuradas. V. no se enteraba y el club francés hablaba con su alter ego.

Sin el dinero en la cuenta y tras darse cuenta de la maniobra, el 30 de abril el apoderado de Boca denunció ante la Justicia que personas "aún no individualizadas" ingresaron a la casilla de correo de José Luis V.. Según la denuncia, pudieron "interceptar, borrar, crear y enviar comunicaciones directamente al club francés (...) A partir de esas comunicaciones se habría impedido que Boca Juniors percibiera la primera cuota por la transferencia del jugador Leandro Paredes, fijada en concepto de "contribución de solidaridad"", señala el escrito.

Había sido todo planificado: varias condiciones y reglas fueron creadas hasta al menos un mes antes de la operación. De hecho al abogado y encargado de la negociación no le llegaron ninguna de las respuestas del equipo francés a las quejas de Boca. Estaba aislado.

Las pistas

Entre los adjuntos que devolvió la gente del Paris Saint Germain hay un archivo de Word (bank details certification.docx) que contiene la información bancaria que V. les mandó como parte de sus "recomendaciones" de último momento. Los investigadores siguen ahora la pista del dueño de esa licencia de Office, como el presunto creador de la cuenta adulterada. Entre las medidas solicitaron el allanamiento del domicilio de esa empresa. Aunque los investigadores también creen que podría no tener nada que ver: utilizaron una activación falsa.

Además, pidieron un exhorto internacional a los Estados Unidos Mexicanos a los efectos de solicitar a la autoridad judicial que determine la entidad bancaria a la que le corresponda la cuenta n° 088001148134 que pertenecería a la empresa "OM IT Solution SA de CV"; a la entidad le están pidiendo los datos de titularidad y los autorizados a operar esa cuenta, copia de la documentación presentada al momento de la apertura y gestión de la cuenta, así como también copia de los extractos bancarios desde el mes de enero de 2019 hasta la actualidad y de los mensajes Swift completos correspondientes a todas las transacciones realizadas en ese período.

Aún se desconoce si los fondos que transfirió el PSG fueron retirados. "Los exhortos internacionales tardan una eternidad", admiten fuentes judiciales. Las computadoras de los empleados involucrados, mientras tanto, permanecen bajo absoluto resguardo en el club. Y la justicia (la causa está cargo del juez Ariel Lijo e investiga el fiscal Federico Delgado) pidieron citar a declarar a todos: los empleados de Boca, claro, y los del PSG.

¿Cómo pudo suceder?

Todos los indicios conducen a un ataque informático de tipo BEC (Business Email Compromised). También conocido como el "fraude del CEO", tiene como objetivo engañar a empleados de la parte contable de una empresa para que paguen una factura falsa o hagan una transferencia desde la cuenta de la compañía a otra cuenta ignota. Hay varios casos en la Argentina. Los delincuentes usurpan estas cuentas y se hacen pasar por una persona, pero direccionan los pagos hacia una cuenta propia.

Y hay antecedentes en el fútbol: el año pasado, cuando el Feyenoord debía cobrar la última cuota de la Lazio por el pase de Stefan de Vrij, esos dos millones de euros nunca llegaron. Un atacante se hizo pasar por una persona del equipo holandés y envió correos electrónicos en su nombre, según contó el diario Il Tempo.

En estos casos, en general, el proceso suele ser el siguiente: un estafador, probablemente conocedor de cómo funciona la empresa, llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía (por ejemplo, el Director General). En este caso, el de V. Ya conocen bien cómo funciona la organización. Solicitan un pago internacional. El empleado transfiere los fondos a una cuenta controlada por el estafador. A veces, los mails hablan de confidencialidad o de una situación delicada, como una inspección fiscal, fusión o adquisición. El lenguaje suele ser natural y similar al que utilizan las personas que tenían quienes enviaban los correos.

Por ahora, nada se sabe del dinero de Boca. Pero, para advertir, los especialistas recomiendan activar otra forma de comunicación, una doble vía, para ratificar el método de pago y sobre todo las cuentas a las que habrá que transferir el dinero.

Conforme a los criterios de

Conocé más

Cinco señoras en la vereda. El desopilante video que anuncia el regreso de Lo Celso a un viejo amor español

De la Premier a la Libertadores. El particular anuncio del club más popular de Brasil de la contratación de "el Alcaraz del fútbol"

Deja Fiorentina. Nico González llega al más grande de Italia en el segundo pase de los más costosos de la Serie A