«¿Se puede cambiar la cuenta?» — «Sí, claro». — «¿La vamos a revisar?» — «No». Las autoridades municipales explicaron cómo perdieron el dinero del presupuesto.

Las autoridades de Baltimore, EE. UU., fueron víctimas de un elaborado fraude que hizo salir más de 1,5 millones de dólares del presupuesto municipal. Según el informe de la Oficina del Inspector General (OIG), el atacante logró acceder al sistema Workday, usado para gestionar a los proveedores, y modificó los datos bancarios de una de las empresas que recibe pagos del ayuntamiento. Como resultado, $1,52 fueron transferidos a una cuenta no vinculada al proveedor real. Se recuperaron $721 236, pero $803 384 siguen registrados como perdidos.

El fraude comenzó el 9 de diciembre de 2024, cuando el atacante envió a través de Workday un formulario falso para añadir un nuevo contacto en nombre de un empleado legítimo del proveedor. Se indicó un correo electrónico personal, no perteneciente al dominio corporativo. El presidente de la empresa confirmó después que ese trabajador no participaba en asuntos financieros. No obstante, el 11 de diciembre un empleado del departamento de cuentas por pagar aprobó la solicitud y añadió al usuario falso al perfil del proveedor en el sistema. En ese momento las normas no exigían verificación de identidad ni cotejo del e‑mail, y parte de los datos del formulario contradecía la información ya existente en Workday.

Nada más obtener acceso, el atacante intentó cambiar los detalles bancarios del proveedor. Envió una serie de solicitudes, incluyendo un supuesto cheque anulado fechado el 4 de enero de 2025, y el 7 de enero presentó otra petición de cambio de cuenta. El 10 de enero un segundo empleado del departamento financiero aprobó la solicitud y un tercero dio la autorización final. Ninguno de ellos comprobó el cheque falso. Según los registros de Workday, el 19 de febrero los datos del proveedor fueron oficialmente sustituidos por los del atacante.

A continuación se realizaron dos pagos grandes: el 21 de febrero por $803 384 y el 10 de marzo por otros $721 236. Solo el 13 de marzo el banco municipal recibió una alerta del banco del beneficiario sobre actividad sospechosa. Entonces se confirmó que los fondos habían sido desviados a una cuenta ficticia. El proveedor real aseguró que no tenía conocimiento de los cambios. La cuenta del atacante fue eliminada de Workday y el perfil del proveedor quedó congelado temporalmente.

A pesar de que el Departamento de Finanzas notificó el incidente el 13 de marzo, el inspectorado no supo del caso hasta el 19 de marzo. El intento de AP de contactar con la policía de Baltimore fue infructuoso por el uso de contactos obsoletos. El 31 de marzo fue la propia OIG la que se puso en contacto con las fuerzas del orden e inició una investigación penal. Más tarde, en una entrevista, representantes del despacho del inspector afirmaron que el atacante había eludido el geofencing de la ciudad mediante Starlink. Sin embargo, los técnicos de TI municipales no hallaron pruebas de uso de comunicaciones satelitales y descartaron esa versión.

La auditoría reveló graves problemas sistémicos. En el momento del ataque, los procedimientos internos del departamento no exigían verificación de identidad al cambiar datos de pago, no existían listas de representantes autorizados de los proveedores y no se requería verificación telefónica. Estas mismas debilidades ya habían provocado incidentes similares en 2020 y 2022, pero las recomendaciones previas del inspector no se habían implementado.

En respuesta, el departamento de cuentas por pagar realizó una revisión interna, comenzó el proceso de devolución de fondos y creó un grupo de trabajo interinstitucional con especialistas en TI, compras y gestión de riesgos. En conjunto se definió e implementó una serie de medidas. En particular, se revisaron los procedimientos estándar para modificar los datos de contacto y bancarios de los proveedores, se introdujo la obligación de verificación telefónica para cualquier ajuste de datos, se añadió un retraso de 48 horas antes de que los cambios entren en vigor y se activaron notificaciones automáticas para todos los contactos del proveedor ante cualquier actualización del perfil en Workday.

Además, para aumentar la seguridad ahora se requiere un rol de usuario especial para realizar cambios sensibles, el personal de AP recibe formación adicional para reconocer signos de ingeniería social, y el sistema Workday es monitorizado diariamente en busca de actividad sospechosa, incluidas solicitudes duplicadas, operaciones aceleradas y cambios atípicos en los perfiles. La oficina del inspector señaló que considera lo ocurrido un impulso para modernizar el sistema y reforzar la protección de las operaciones financieras de la ciudad.