El hackeo a la web del Ayuntamiento de Sevilla no es el primer ciberdelito que ha padecido el consistorio hispalense en los últimos años, puesto que hace exactamente dos años, en septiembre de 2021, fue objeto de un ataque de piratas informáticos que se apoderaron de un millón de euros a las arcas municipales. En aquella ocasión el Ayuntamiento fue víctima de un ciberdelito que desde hace años venían padeciendo otras administraciones, instituciones y empresas. Se trata de la estafa conocida como Man in the Middle o ataque del intermediario, un método que consiste en interceptar las comunicaciones entre dos interlocutores para acceder a la información y luego modificarla a su antojo, sin que ninguno de los afectados lo sepa.

En aquella ocasión, los ciberdelincuentes interceptaron las comunicaciones del Ayuntamiento de Sevilla y la empresa adjudicataria del contrato de la iluminación navideña. Lo hicieron probablemente mediante la introducción de un virus informático. Luego suplantaron la identidad de la empresa y lograron que el Ayuntamiento abonara el contrato no a la cuenta de la empresa real, sino a otra controlada por ellos. Para poder cobrar o mover luego este dinero, generalmente hace falta una mula económica, un hombre de paja que, a cambio de un beneficio económico, ponga su nombre a la cuenta a la que se hace el pago. La cantidad estafada fue de 962.797 euros.

El Consistorio confirmó entonces la denuncia ante la Policía Nacional presentada por la Gerencia de Urbanismo y admite que el modus operandi utilizado por los presuntos estafadores "parece haber sido empleado para operaciones de estafas a través de la usurpación de datos de una empresa adjudicataria". El sistema es el mismo que padeció con anterioridad el Ayuntamiento de Córdoba, donde los piratas informáticos se apropiaron de más de 400.000 euros.

Las estafas de este tipo se cuentan por decenas en España. Las han sufrido empresas, administraciones públicas e instituciones de todo el país. En los últimos meses han trascendido casos en Burgos, Navarra, Oviedo, Cuenca, Baleares... Rara es la provincia de España donde no se ha detectado algún delito similar. 

De hecho, el caso de Sevilla se detectó a raíz de una advertencia del Banco de España. El Ayuntamiento activó los mecanismos internos y se dio cuenta de que había podido ser víctima de este fraude. En cuanto recabó la información completa, se presentó una denuncia ante la Policía Nacional, que investiga el asunto sin que se hayan producido detenciones ni sospechosos identificados, ni tampoco se haya podido recuperar total o parcialmente el dinero sustraído. 

Con posterioridad, el Ayuntamiento presentó una demanda contra un banco por responsabilidad extracontractual al considerar los servicios jurídicos de la Gerencia de Urbanismo que no obró con la suficiente diligencia en la ejecución de las transferencias bancarias del contrato de la iluminación navideña 2020-2021 y que ocasionaron que el contratista (la empresa Iluminaciones Elecfes S. L.) no recibiera el abono de 962.797 euros y éste fuera aceptado por un tercero distinto al adjudicatario del contrato.

El caso del desfalco de Lipasam

Esta estafa no es la única que han sufrido las arcas municipales en los últimos años. Cabe recordar el caso del que fuera jefe del servicio del departamento económico y financiero de Lipasam Manuel M. G., que está procesado por apoderarse de más de un millón de euros de las cuentas de la empresa municipal de limpieza.

El juez de Instrucción número 14 de Sevilla procesó precisamente en diciembre de 2021, pocos meses después de que se conociera la estafa del Man in the Middle al ex contable, al estimar que el investigado "al menos desde el año 2008 hasta diciembre de 2019, aprovechándose de su cargo de jefe de servicio económico y financiero de Lipasam, se transfirió a su cuenta bancaria un total de 1.033.805,82 euros procedente de los fondos de la referida empresa pública"

Para ello, el investigado "generaba un apunte contable falso en el sistema (SAP) creando un concepto económico ficticio, sin corresponder a factura alguna a favor de un proveedor real dado de alta en el sistema, y al emitir la orden de pago al referido proveedor cambiaba puntualmente el número de cuenta que pertenecía al proveedor por el suyo propio, y una vez realizada la transferencia restauraba en el sistema el número de cuenta bancaria del referido proveedor".