La ciudad aprobó pagos fraudulentos tras no verificar cambios bancarios en el sistema Workday, pese a antecedentes de dos incidentes similares desde 2019. Autoridades admitieron el fallo de controles tras nuevas políticas de verificación. Advertencia del banco permitió recuperar 700 mil dólares.
El gobierno de la ciudad de Baltimore confirmó que realizó transferencias fraudulentas por más de 1,5 millones de dólares a un estafador que se hizo pasar por un proveedor oficial. El impostor convenció a funcionarios municipales para cambiar la información bancaria de la empresa en el sistema financiero, según detalló un reporte de la oficina del Inspector General de la ciudad de Baltimore.
El engaño comenzó en diciembre de 2024, cuando el delincuente presentó un formulario de contacto de proveedor usando el nombre de un empleado real de la compañía. Aunque la dirección de correo proporcionada no pertenecía a la empresa y la persona suplantada no tenía acceso a datos financieros, el personal de cuentas por pagar no verificó la identidad con el proveedor.
En los meses siguientes, el estafador envió varias solicitudes de cambio de cuenta en Workday, que fueron aprobadas por dos funcionarios. Como resultado, en febrero y marzo de 2025 se realizaron dos pagos, uno superior a 800 mil dólares y otro de 721 mil dólares. El banco receptor alertó posteriormente de actividad sospechosa, lo que permitió recuperar el segundo monto, pero no la suma mayor.
Se trata de al menos el tercer fraude de este tipo que afecta a la ciudad desde 2019. Ese año, se transfirieron 62.377 dólares a una cuenta falsa tras la modificación de información de un proveedor. En 2022, otro fraude por 376.213 dólares involucró a la Oficina del Alcalde para la Familia, después de que delincuentes convencieran al departamento financiero de cambiar datos bancarios.
Tras el incidente de 2022, el director financiero aseguró que se habían instaurado políticas que exigían verificar los cambios de cuentas con un directivo de la empresa solicitante. Sin embargo, en esta ocasión los controles no funcionaron.
En una respuesta escrita al informe, el director de Cuentas por Pagar, Timothy Goldsby Jr., admitió que los controles previos “no estaban completamente institucionalizados” cuando la oficina pasó del Departamento de Finanzas a la Oficina del Contralor en enero de 2023. “El Director de Cuentas por Pagar concuerda con la evaluación de la Inspectora General de que el incidente fue posible por vulnerabilidades en los procedimientos de verificación y por protecciones insuficientes en las cuentas de proveedores”, añadió.
Tras el fraude, el área de cuentas por pagar anunció nuevas medidas, entre ellas, la revisión de los procedimientos para cambios de contacto y bancarios, la verificación cruzada obligatoria, una mayor capacitación en detección de ingeniería social y la creación de un rol restringido en Workday para modificar información sensible.
Baltimore ya había sufrido incidentes graves en materia digital, incluido un ataque de ransomware en 2019 que paralizó servicios municipales durante meses y generó pérdidas estimadas en 19 millones de dólares.