Una mujer valenciana, ciberestafada en el trabajo: ¿Puede la empresa obligarle a pagar el robo a ella?

¿Hasta dónde se tienen que responsabilizar los empleados de la ciberseguridad de su empresa?, ¿Qué obligaciones de formación tiene la compañía para con sus trabajadores?, ¿De quién es la responsabilidad cuando se produce un ciberataque?

Celia Zafra, empleada de la EMT de Valencia desde hacía 38 años y era directora del departamento de administración y financiero, dependiendo de las direcciones de financieras y de gestión de la compañía, en 2019 fue víctima de una ciberestafa por phishing llamada “el fraude del CEO”. La broma le costó a la EMT unas pérdidas de 4 millones de euros la compañía denunció a Celia, la cual ha sido condenada a pagar los 4 millones por supuesta negligencia profesional. Un caso que explicaba este martes en La Linterna el consultor tecnológico del programa, Mario Yañez.

¿Qué es el fraude del CEO?

Y es que el fraude del CEO, como explica Yañez, es un tipo de phishing (suplantación de identidad) que busca engañar a empleados que tienen acceso a los recursos económicos de la empresa para que paguen una factura falsa o haga una transferencia desde la cuenta de la compañía. “Los estafadores llaman o envían correos electrónicos haciéndose pasar por un alto cargo de la compañía, aprovechando que este alto cargo no está disponible (lo cual saben, ojo) y apelando a la urgencia o al secretismo para ejecutar la operación cuanto antes”, explica el experto en COPE.

Según el FBI ya ha costado más de 1.800 millones de euros a las empresas de todo el mundo. Así, en el caso de Celia, contactaron por teléfono con esta señora haciéndose pasar por un presunto abogado de Deloitte, firma con la que trabajaba la EMT para decirle que se iba a realizar una operación muy importante con una empresa de China, que todavía era confidencial y que, aunque el importe total era de 9 millones de había que tener abonado el 60% de forma urgente.

“La hicieron firmar una carta de confidencialidad y además suplantaron al presidente de la compañía con un correo en el que pedía a esta señora que siguiera las instrucciones del presunto abogado de Deloitte”, explica Yañez. Así que se los estafadores enviaban las facturas y firmaban como apoderados y Celia realizaba las transferencias, así hasta 4 millones de euros cuando se dieron cuenta que todo era mentira.

Por último, y quería preguntar el director de La Linterna, si hubiera una formación obligatoria: ¿Esto eximiría a las personas o a las empresas?

Para Yañez, “ahí hay otro debate muy interesante”. “No es lo mismo que el empleado esté usando los medios de la empresa de forma ilícita: viendo porno, pirateando software, etc. y que se meta en un “ciberlío”, en cuyo caso no le salvaría nada ni nadie. Ahora bien, al revés también aplica: ¿qué pasaría con un usuario que ha actuado con buena fe y que se demostrara que su empresa no le ha dado los medios ni técnicos ni formativos para defenderse de estas amenazas?; lo mismo es la empresa la responsable en este caso”. Un tema que, apunta, cada vez va a estar más de moda.