Cuidado con la estafa del CEO: caer en la trampa puede ser causa de despido
Una sentencia ha declarado procedente la desvinculación de una trabajadora que cayó en la trampa de los ciberdelincuentes por "incumplimiento de la normativa interna" y otros factores que consideró la compañía
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa1c%2F6f2%2Fcd7%2Fa1c6f2cd7f1321dbecc1d82fcb063df2.jpg)
"Hazme una transferencia urgente, de lo contrario, se cae la operación en la que hemos estado trabajando meses". Este es el tipo de mensaje que han recibido cientos de trabajadores de empresas, y que, en realidad, no se lo pide ningún gerente, ni nadie de la compañía. Se trata de la estrategia detrás del conocido fraude del CEO, que cada vez es más realizada por los cibercriminales. Sin embargo, hay que tener mucho cuidado con ella, porque si el empleado cae en la trampa, podría llegar ser despedido, por mucho que haya sido sin intención o solo una equivocación.
Así lo confirma una última sentencia del Tribunal Superior de Justicia de las Islas Baleares, donde declara procedente el despido de una encargada de tienda de la marca Guess, por haber hecho un depósito tras recibir una llamada y ser víctima de este timo. En principio, la trabajadora presentó una demanda contra la compañía por despido improcedente, sin embargo, finalmente las pruebas llevaron a que el caso acabase en sentencia y yendo en contra de los deseos de la afectada. En este incidente, la mujer recibió una llamada al estar en la tienda de un hombre que se hizo pasar por el director de marketing, 'Leoncio', y dijo que estaba acompañado de 'Matías', el segundo encargado de tienda. En esta conversación, el supuesto alto cargo manifestó a la demandante que eran necesarios tres pagos para solucionar un problema en el que se encontraba la empresa, y que Matías ya había realizado dos pagos.
"Esta persona indicó a la demandante que el tercer pago debía hacerse, como los dos anteriores, en bitcoins (BTC), para lo cual debía coger todo el dinero en efectivo que hubiese en la tienda y dirigirse a un cajero que realizaba el cambio de dinero en efectivo a BTC. El interlocutor de la demandante acució a esta refiriéndole que de no seguir sus instrucciones, se impondría a la empresa una multa de 11.950 euros y solicitó a la demandante el número de su dispositivo móvil, número que esta le facilitó", indica la sentencia. De forma casi inmediata, la trabajadora se dirigió a un cajero de bitcoins y, siguió todas las instrucciones que le indicaron Leoncio y Matías por teléfono. Realizó seis ingresos por un total de 2.845 euros: parte de ello venía de la caja fuerte y de las dos cajas registradoras de la tienda en la que trabajaba (Centro Comercial Porto Pí de Palma), y el resto los aportó la demandante de su propio bolsillo.
El problema llegó cuando acabó y contacto de forma directa con el verdadero Matías: "No sé de qué me estás hablando". El segundo encargado de tienda se encontraba en su domicilio y no había tenido contacto con nadie de la tienda aquel día. La demandante puso inmediatamente en conocimiento del departamento lo sucedido, y horas más tarde interpuso una denuncia en las dependencias del Cuerpo Nacional de Policía. En normativa de empresa y tienda salen puntos específicos sobre este tipo de estafas, como por ejemplo, que no está permitido coger dinero de la caja registradora, o que en ningún caso se podrá salir de la tienda con dinero de la compañía. Tampoco está permitido hacer ningún tipo de transferencia bancaria a nombre de Guess Spain o que tenga relación con la compañía, entre otros.
* Si no ves correctamente el módulo de suscripción, haz clic aquí
A pesar de ello, en un principio se había declarado la improcedencia del despido, pero la empresa formalizó un recurso de suplicación en contra, asegurando de que "la empleada incumplió de forma flagrante la normativa interna de la empresa, de la cual era perfectamente conocedora, por lo que el despido debe ser declarado procedente". Con el fin de sustentar su conclusión, Guess dio a conocer otros casos en los que se había despedido a trabajadores por este tipo de casos.
Por ejemplo, en la STSJ Cataluña, un director de planta fue despedido por realizar 59 transferencias fraudulentas por un total de más de 23 millones de euros a estafadores que se hacían pasar por altos directivos de la empresa. El trabajador recibió alertas de fraude, y a pesar de ello continuó con las transferencias, justificándolas con documentos falsos. Otro evento como estos, es el de la STSJ de la Comunidad Valenciana, en el que una trabajadora con el puesto de directora del negociado de Administración, firmó un acuerdo de confidencialidad y remitió por correo electrónico todos los documentos solicitados en los que constaban diversas firmas que los estafadores falsificaron seguidamente para autorizar un total de ocho transferencias bancarias, por un importe de más de cuatro millones de euros a una cuenta del Banco de China en Hong Kong.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F879%2Fa01%2F0d0%2F879a010d0c66294df6f6708281665003.jpg)
"En todos se tiene como común denominador la ratio decidendi de existencia de negligencia, grave e inexcusable, en el desempeño de funciones laborales y la violación de normas éticas o protocolos internos, siendo causa de despido disciplinario, incluso aunque haya mediado engaño por terceros", comenta la directora legal del área Laboral de Andersen, Raquel de la Viña. La letrada añade que de dicha doctrina, se desprende que la transgresión de la buena fe contractual no exige que el trabajador haya actuado voluntariamente, siendo suficiente con que el incumplimiento haya sido por negligencia, siempre que, "obviamente, se reúnan las notas de gravedad que exige la conducta para que se justifique la procedencia del despido".
Con todo lo expuesto, y aunque también existen casos en los que han conseguido la nulidad del despido, "lo cierto es que esta incumplió tanto con la normativa interna de la empresa que se le había transmitido, como con su deber de diligencia, quebrando la confianza depositada en ella por parte de la empresa, llevando a cabo una actuación que puede calificarse de imprudente", aclaran desde el STSJ de Islas Baleares. Por lo que finalmente decidieron estimar el recurso de suplicación formulado por la compañía, y se acordó la devolución, a la parte recurrente, de la cantidad consignada y del depósito constituido para recurrir, una vez firme la presente resolución.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff74%2Fce1%2F08b%2Ff74ce108ba486b3a119ecedf2d648d2f.jpg)
¿Cómo funciona este fraude?
Aunque siguen apareciendo nuevos casos, este no es un timo nuevo. La conocida como la estafa del CEO lleva algún tiempo perjudicando a más de un trabajador con el objetivo de robar datos y dinero. Se trata de la suplantación de identidad de una persona de autoridad de la empresa, ya sea el director general o alguien de alto mando, con el objetivo de engañar a los empleados que tienen acceso al dinero, acciones o patrimonio de la empresa. Asimismo, la Oficina Europea de Policía (Europol), habla del modus operandi de los estafadores, aclarando que hay distintos métodos de los criminales para llegar a los trabajadores. Desde una llamada, hasta correos electrónicos. Por lo general, piden que se realicen pagos a bancos fuera de Europa, lo que alertan, que ya debería generar dudas.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe7f%2F565%2F137%2Fe7f56513741b81883f047f7333666cce.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe7f%2F565%2F137%2Fe7f56513741b81883f047f7333666cce.jpg)
En este tipo de casos, por ejemplo, entrega ciertos consejos para evitar caer en esta estafa. Entre ellos, comenta que como trabajador, lo más importante, es respetar "estrictamente los procedimientos de seguridad vigentes para los pagos y las compras. No te saltes ningún paso y no cedas a la presión". Al mismo tiempo, aconseja que se revise con cuidado las direcciones de correo cuando el empleado tenga un cargo de responsabilidad económica, cuando maneje información delicada o cuando realice alguna transferencia. "La estafa del CEO no es nueva, y con los medios actuales puede llegar a desarrollarse como cualquier estafa, pero con tintes de ciberdelincuencia", añade la abogada de Andersen.
Para evitar estas situaciones, De la Viña aconseja a las empresas que es esencial, como en todo tipo de fraude y ciberdelincuencia, dar una formación continua y adecuada a los trabajadores. "Todo ello, acompañado de protocolos o directrices internas para regular este tipo de actuaciones, con instrucciones claras al respecto, indicando a los trabajadores que deben verificar la identidad del remitente por otros medios y que no deben actuar de manera apresurada ante solicitudes inesperadas o secretas", finaliza.
"Hazme una transferencia urgente, de lo contrario, se cae la operación en la que hemos estado trabajando meses". Este es el tipo de mensaje que han recibido cientos de trabajadores de empresas, y que, en realidad, no se lo pide ningún gerente, ni nadie de la compañía. Se trata de la estrategia detrás del conocido fraude del CEO, que cada vez es más realizada por los cibercriminales. Sin embargo, hay que tener mucho cuidado con ella, porque si el empleado cae en la trampa, podría llegar ser despedido, por mucho que haya sido sin intención o solo una equivocación.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F71f%2F23d%2Fbfe%2F71f23dbfe7f78d97776a4245b93acdf8.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F802%2Fc8c%2F29f%2F802c8c29f753f2459503c9b72f1bafc6.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F104%2F072%2F70d%2F10407270d043e15f46ffaeaa562a4712.jpg)