Hackeo de Starlink y cheque anulado: así transfirió un millón de dólares la alcaldía a un estafador
La ciudad pagó, pero el dinero no llegó al destinatario correcto.
Más de 1,5 millones de dólares fueron robados a la alcaldía de Baltimore mediante un elaborado esquema de fraude, en el que un delincuente, haciéndose pasar por un contratista, modificó los datos bancarios y desvió los fondos a su propia cuenta. Las autoridades locales ahora refuerzan urgentemente la seguridad del sistema de pagos para evitar incidentes similares en el futuro.
El fraude fue descubierto en marzo, cuando el banco notificó dos grandes transferencias desde la cuenta municipal: una de 803.000 dólares y otra de 721.000. La segunda fue congelada y devuelta, pero la primera transacción, realizada aún en febrero, no pudo recuperarse.
La investigación reveló que el criminal mantuvo correspondencia con los responsables financieros de la ciudad durante varios meses, desde octubre o noviembre. El atacante se hizo pasar por un empleado de la empresa contratista, presentó documentos falsos pero creíbles, incluyendo cheques anulados y el número de identificación fiscal de la compañía. Tras ganarse la confianza, logró cambiar los datos bancarios en el sistema.
Baltimore ha estado digitalizando activamente sus procesos de pago en los últimos años, buscando ahorrar tiempo y aumentar la transparencia. Sin embargo, estas mismas comodidades se convirtieron en una vulnerabilidad: el estafador utilizó documentos disponibles en línea y el procedimiento estándar para cambiar datos sin generar sospechas. Su comportamiento no difería del de un proveedor legítimo.
El contratista en cuyo nombre actuó el delincuente colabora regularmente con el Departamento de Obras Públicas de la ciudad. Aunque no se ha revelado el nombre de la empresa, su cooperación fue suspendida temporalmente, y se le realizará un nuevo pago la próxima semana. Las autoridades confirmaron que no se violó ningún reglamento interno durante el fraude. Todos los documentos entregados cumplían con los requisitos para modificar una cuenta bancaria.
La investigación determinó que el estafador utilizó una dirección IP registrada mediante Starlink, lo que le permitió eludir el sistema de geolocalización que controla el origen de las conexiones de red. Las autoridades destacaron que la tecnología del atacante estaba un paso por delante de las defensas municipales.
Actualmente, los servicios municipales están revisando recomendaciones de informes anteriores sobre casos similares. Se planean nuevas medidas de control, como notificaciones automáticas a contratistas cuando se realicen cambios en las etapas del proceso de pago. Además, se ha pedido a todas las empresas que trabajan con la alcaldía que verifiquen sus datos bancarios en el sistema.
Aunque no se han detectado otros casos de intrusión, las autoridades reconocen que es imposible eliminar por completo todas las vulnerabilidades, y que la protección debe mejorarse continuamente. Estos esquemas se vuelven cada vez más sofisticados, y las defensas deben anticiparse a las amenazas en lugar de reaccionar después del daño.
¿Estás cansado de que Internet sepa todo sobre ti?