La Policía no puede localizar el e-mail del estafador de la EMT de Valencia porque enmascaró su dirección IP

El Grupo de Delitos Tecnológicos de la UDEF ha rastreado las seis IP, todas geolocalizadas en Estados Unidos, pero están enmascaradas y anonimizadas
Los peritos de Telefónica concluyen que la localización del equipo del estafador “parece estar fijada en ciertos países francófonos de África”
El informe pericial señala que la directiva de la EMT fue inducida a colaborar en el fraude “mediante técnicas de ingeniería social habituales en este tipo de ataques”

Análisis forense del disco duro del ordenador de la exjefa de Administración de la EMT, Celia Zafra.

Valencia — 21 de noviembre de 2019 22:43h

El único rastro que queda del estafador de la Empresa Municipal de Transportes (EMT) de València son los cuatro millones de euros que sableó a través de dos cuentas de Bank of China en Hong Kong. El Grupo de Delitos Tecnológicos de la Unidad de Delincuencia Económica y Fiscal (UDEF) de la Policía Nacional ha rastreado las seis IP, todas geolocalizadas en Estados Unidos, de los correos electrónicos que utilizó el estafador para dar las instrucciones del timo a la exjefa de Administración de la EMT, Celia Zafra.

Los e-mails contaban con un servicio de anonimización que “enmascara” al usuario titular de la IP (el identificador de una conexión). Zafra, única investigada por la estafa, recibió las instrucciones del supuesto abogado de Deloitte a través de un falso correo corporativo de la firma. La explicación de la operación llegó a través de otro correo corporativo de la EMT más falso que Judas (“ggiuseppe@emtvalencia.es”).

Un dictamen pericial de Telefónica sobre el equipo informático que utilizaba la directiva despedida, encargado por los responsables de la EMT, concluye que en ningún momento el correo corporativo de la empresa pública o el ordenador de Zafra fueron hackeados. “Se ha constatado que desde el exterior de la red interna de la empresa no se han producido accesos de la cuenta” de la directiva, señala el informe.

El dictamen explica que los dos correos falsos provenían de un único e-mail (“respuesta@cnmv.pw”). Esta dirección es la que le aparecía a Zafra cuando contestaba los correos aunque, al parecer, la mujer en ningún momento detectó que podría tratarse de e-mails espurios. La dirección, con el dominio geográfico de “.pw” correspondiente al antiguo paraíso fiscal de las Islas Palao, presenta una particularidad que los peritos han analizado para apuntar al origen de la estafa.

Cuando dos usuarios intercambian e-mails abajo les aparece la conversación anterior, con fecha y hora, haciendo una especie de cronología de los mensajes. En el caso del falso correo del estafador, los peritos advierten que la fecha y la hora de los mensajes anteriores aparece en francés y con una hora de diferencia. “Dicha localización debe estar configurada en un país cuyo huso horario sea una hora menor (GMT) o a un país cuyo huso horario sea el mismo de España pero no aplique el horario de verano”, indica el informe pericial.

Excluidos los países europeos francófonos, que tiene el mismo huso horario que España, los peritos concluyen que la localización del equipo “parece estar fijada en ciertos países francófonos de África”. El e-mail estuvo activo entre el 1 de septiembre y el 8 de octubre aunque el dominio de Palaos (“cnmv.pw”) existe desde 2016. “No parece creado ad hoc para este incidente”, añaden. El informe también desvela que la dirección del correo está situada en Israel.

Los peritos descartan que la exjefa de Administración de la EMT se comunicara “con los atacantes por canales alternativos” y concluyen que fue inducida a colaborar en el fraude “mediante técnicas de ingeniería social habituales en este tipo de ataques”.

Etiquetas