L’únic rastre que queda de l’estafador de l’Empresa Municipal de Transports (EMT) de València són els quatre milions d’euros que furtà a través de dos comptes del Bank of China a Hong Kong. El Grup de Delictes Tecnològics de la Unitat de Delinqüència Econòmica i Fiscal (UDEF) de la Policia Nacional ha rastrejat les sis IP, totes geolocalitzades als Estats Units, dels correus electrònics que va utilitzar l’estafador per a donar les instruccions de l’estafa a l’excap d’Administració de l’EMT, Celia Zafra.
Els correus disposaven d’un servei d’anonimització que “emmascara” l’usuari titular de la IP (l’identificador d’una connexió). Zafra, única investigada per l’estafa, va rebre les instruccions del presumpte advocat de Deloitte a través d’un correu corporatiu fals de la firma. L’explicació de l’operació va arribar per mitjà d’un altre correu corporatiu de l’EMT més fals que Judes (“ggiuseppe@emtvalencia.es”).
Un dictamen pericial de Telefónica sobre l’equip informàtic que utilitzava la directiva acomiadada, encarregat pels responsables de l’EMT, conclou que en cap moment el correu corporatiu de l’empresa pública o l’ordinador de Zafra van ser piratejats. “S’ha constatat que des de l’exterior de la xarxa interna de l’empresa no s’han produït accessos del compte” de la directiva, assenyala l’informe, a què ha tingut accés eldiario.es.
El dictamen explica que els dos correus falsos provenien d’un únic correu (“respuesta@cnmv.pw”). Aquesta adreça és la que li apareixia a Zafra quan contestava els correus, encara que, pel que sembla, la dona en cap moment va detectar que podria tractar-se de correus espuris. L’adreça, amb el domini geogràfic de “pw” corresponent a l’antic paradís fiscal de les illes Palau, presenta una particularitat que els perits han analitzat per a apuntar l’origen de l’estafa.
Quan dos usuaris intercanvien correus electrònics, davall hi figura la conversa anterior, amb data i hora, de manera que es fa una mena de cronologia dels missatges. En el cas del correu fals de l’estafador, els perits adverteixen que la data i l’hora dels missatges anteriors es mostra en francés i amb una hora de diferència (si Zafra escriu un correu a les 12.40 a l’estafador li apareix que l’ha escrit a les 13.40). “Aquesta localització ha d’estar configurada en un país en què el fus horari siga una hora menys (GMT) o en un país en què el fus horari siga el mateix d’Espanya, però no aplique l’horari d’estiu”, indica l’informe pericial.
Exclosos els països europeus francòfons, que tenen el mateix fus horari que Espanya, els perits conclouen que la localització de l’equip “sembla estar fixada en certs països francòfons d’Àfrica”. El correu va estar actiu entre l’1 de setembre i el 8 d’octubre, encara que el domini de Palau (“cnmv.pw”) existeix des del 2016. “No sembla creat ad hoc per a aquest incident”, afigen. L’informe també revela que l’adreça del correu està situada a Israel.
Els perits descarten que l’excap d’Administració de l’EMT es comunicara “amb els atacants per canals alternatius” i conclouen que va ser induïda a col·laborar en el frau “mitjançant tècniques d’enginyeria social habituals en aquest tipus d’atacs”.