Nueve meses después de haberse registrado el millonario hurto virtual en Purificación, la Contraloría del Tolima dio a conocer un informe de fiscalización en el que se revelan detalles de un hecho que dejó una pérdida superior a los $10 mil millones en la Alcaldía.

Según el ente de control existen evidencias “suficientes” para afirmar que el hecho está enmarcado en una responsabilidad compartida entre la Administración municipal, Bancolombia y los probables beneficiarios a quienes se les transfirió el dinero.   

De la celebración a la tristeza

En la última semana de diciembre de 2021, mientras en diferentes poblaciones del Tolima terminaban de decirle adiós a la Navidad y se alistaban para recibir el año nuevo, en la conocida ‘Villa de las palmas’ empezó a circular el rumor de un robo en las cuentas del Municipio, algunos se atrevieron a mencionar que ascendía a $20 mil millones y otros señalaban que el valor era de $30 mil millones.

Con el paso de los días el interrogante entre los purificenses fue mayor, por lo que empezaron a exigirle al mandatario Cristian Barragán explicaciones. Fue el 30 de diciembre que el burgomaestre, a través de sus redes sociales, confirmó que dos días antes había sido informado de una serie de transferencias que no eran propias de la Administración.

“Inmediatamente le informamos a la Policía Nacional, Fiscalía y la Sijín, quienes de inmediato tomaron acciones”, precisó y agregó que hasta ese momento se había evidenciado que se hicieron movimientos virtuales bancarios el viernes 24 y lunes 27 de diciembre.

Confirmado el hecho, que se conoce mediáticamente como el ‘robo navideño de Puri’, desde diferentes sectores del municipio se le insistía al Alcalde precisar el valor real y las cuentas que habían  sido afectadas. Por lo que el 6 de enero de 2022, a través de un medio radial, explicó que según una respuesta preliminar de la entidad bancaria, las transferencias ascendían a los $10 mil millones.

“No es una información final, estamos esperando porque como todo (cuentas) se bloqueó para saber qué fue lo que retiraron (…), puede ser mucho menos”, dijo el burgomaestre. Dicho pronunciamiento fue registrado por este medio en la edición del 7 de enero.

Desde entonces, los purificenses empezaron a solicitarle a los entes de control y organismos de investigación tratar el caso con prioridad, para conocer quiénes habían sido los responsables del hecho y lo más importante tratar de recuperar el dinero.

Las cuentas bancarias hurtadas

Teniendo en cuenta las característica del hurto, que es catalogado como histórico en ‘Puri’, la investigación se ha manejado con gran hermetismo, sin embargo, al pasar los meses la indignación se mantiene entre la comunidad pues no quieren que el robo se quede impugne o termine resolviéndose años después.

Justamente, al cumplirse nueve meses se conoció un informe fiscal que da a conocer algunas piezas del rompecabezas sin alterar el rumbo de la investigación. En el documento se determinó que el valor extraído de las arcas del municipio fue de $10 mil 987 millones 123 mil y que el manejo de la banca virtual estaba bajo la responsabilidad del Tesorero como usuario ‘Preparador’ y del Alcalde como ‘Autorizador’.

En cuanto a las condiciones de seguridad de los token, se explicó que permanecían bajo custodia en la caja fuerte de la Tesorería Municipal.

Sobre las transacciones, según respuesta del banco, se hicieron el 24 y 27 de diciembre de 2021, que corresponde a viernes y lunes, los días de fin de semana no se registraron porque “Bancolombia ha establecido como mecanismo de seguridad el bloqueo de transacciones a través de la Sucursal Virtual Empresas los días no laborales”, se explica en el informe.

Para el caso de las cuentas del Municipio se tiene un esquema de autenticación denominado ‘Control Dual’, es decir, que se necesita de los usuarios ‘Preparador’ y ‘Aprobador’, para adelantar cualquier movimiento.

En sus respuestas el banco explicó que las transacciones fraudulentas no se detectaron como irregulares “debido a que todas fueron realizadas haciendo uso del esquema de seguridad de Control Dual”.

Tras las respuestas recibidas de las partes involucradas, se estableció que se afectaron las cuentas Corrientes: sobretasa a la gasolina ($521 millones) y Fondo de seguridad ($375 millones 600 mil) que corresponden a recursos propios.

También las de Ahorro: estratificación socioeconómica ($25 millones), Desahorro Fonpet nómina de pensionados ($355 millones 621 mil), Desahorro Fonpet propósito general ($4 mil 113 millones 442 mil), crédito de entidad bancaria para compra de maquinaria ($3 mil 778 millones 665 mil).

Asimismo, la de alimentación escolar (mil 660 millones de pesos), impuesto de transporte de oleoducto ($14 millones) y Gestión del Riesgo y Desastres ($142 millones 956 mil). 

Hallazgos 

Finalmente, el ente de control generó dos hallazgos administrativos con incidencia disciplinaria en contra de la Administración municipal, el primero porque aunque el banco no ha hecho capacitaciones frente al manejo de los token, claves y banca virtual, el Tesorero no solicitó a la entidad información sobre los riesgos en el manejo de dicha banca virtual y se le cuestiona el préstamo temporal de las llaves de la oficina. 

El segundo surge porque no se dio la custodia necesaria a los recursos del Municipio, esto teniendo en cuenta que la entidad no contó con los controles necesarios para brindar seguridad, además no se cuentan con cámaras de seguridad, ni se pudo precisar el registro del personal en las bitácoras porque no es legible, se precisa que el Tesorero no habría cumplido con sus deberes de  protección a documentación e información susceptible.

Y un tercer hallazgo administrativo con incidencia fiscal, disciplinaria y penal, en el que se explica que tras revisar los hechos existen evidencias “suficientes para afirmar que el hecho se encuentra enmarcado en una responsabilidad compartida entre la Administración municipal, la entidad financiera Bancolombia y los presuntos beneficiarios a los cuales se les transfirió dichos recursos”.

El informe fue trasladado a la Procuraduría General de la Nación y la Fiscalía, como aporte a la investigación que está en curso.

Las fallas que habría tenido la entidad bancaria 

Otra de las inconsistencias detectadas al interior de la entidad financiera es que dos cuentas destinatarias fueron bloqueadas el 27 de diciembre cuando la orden se dio el 28 y una que pertenece a una persona natural y a quien se le giró $80 millones desde una cuenta del Municipio, fue inmovilizada el 29, es decir, una día después de la solicitud. 

“Situación que para la Contraloría, se enmarca como falencia en la seguridad y control por parte de la banca virtual del mencionado banco”. 

Desde el entidad financiera se expuso que los movimientos del 24 y 27 de diciembre fueron conforme a los procedimientos establecidos que no generaron alarma al interior de Bancolombia, pues se hicieron a través del esquema Control Dual, el cual requiere la participación de los usuarios ‘Preparador’ y ‘Aprobador’ para las transacciones independiente de su monto, pues cada usuario cuenta con una clave principal y un token. 

No obstante, el ente de control indicó que la entidad no contó con “medios adicionales, herramientas y filtros de seguridad que garanticen que los token y las transferencias gozaban de veracidad”, ante las situaciones anormales que se iban registrando. 

Asimismo, otro dato que llamó la atención fue la forma irregular en que se habría inscrito las cuentas bancarias para hacer los giros, también, se reprocha que no hubo reacción alguna ante los movimientos que se efectuaron antes de las 7 a.m., horario que no era frecuente por parte del Municipio.

Además, se habría violado el límite de la cuantía de las operaciones  diarias autorizadas por el usuario, situación que debió ser advertida por el banco al evidenciar el número de transferencias inusualmente ejecutadas que en un solo día superaron los $10 mil millones. 

En medio de la indagación se deduce que la Administración municipal no contó con la capacitación adecuada por parte de Bancolombia para el manejo de los recursos financieros a través de la banca virtual y los riesgos frente a la custodia de los mismos. 

En la investigación que adelanta la Contraloría del Tolima, se pidió al banco establecer cuáles y cuántas cuentas fueran abiertas el mismo día en que se efectuaron los giros, así como el tiempo transcurrido entre la apertura y el giro ilícito de los recursos, también, el tiempo transcurrido entre el momento del giro y el retiro de los recursos por parte de los presuntos beneficiarios. 

Movimientos fraudulentos

En la línea de tiempo que rodea el ‘hurto navideño’, se tiene que la Alcaldía expidió el 26 de noviembre de 2021 un decreto en el que se estableció que los días 24 y 31 de diciembre no habría atención al público, por lo que “no se expidió certificación de autorización para el ingreso al Palacio Municipal el 24 de diciembre”, ni para funcionarios y tampoco para particulares.

No obstante, ese día de forma fraudulenta sustrajeron $630 millones de la cuenta ‘Desahorro Fonpet propósito general’, desde la IP que pertenecería a la Tesorería Municipal, motivo por el cual desde la Administración municipal en respuesta a la Contraloría, se explicó que dichos movimientos hacen parte de las denuncias.

Actualmente, la Fiscalía Segunda Especializada está investigando a quienes ingresaron ese día, pues aunque se lleva una bitácora “no fue posible deducir el contenido por presentar anotaciones ilegibles que mal podría generar conclusiones erróneas (…)”, precisó el ente de control en el informe.

El lunes 27, se cuentan 91 transferencias ilícitas que ascendieron a $10 mil 357 millones 123 mil 589 desde una IP que no pertenece a las utilizadas en la Alcaldía. 

El registro muestra que desde la cuenta ‘Crédito de entidad bancaria para compra de maquinaria’ se hicieron 59 giros que iban entre los $19 millones y los $375 millones. Los movimientos sumaron $3 mil 778 millones 665 mil 673.

Desde la cuenta de Estratificación económica, Desahorro Fonpet nómina de pensionados, Fondo de seguridad e Impuesto de transporte de oleoducto se adelantó un solo movimiento.

Nuevamente se ingresó a la de Desahorro Fonpet propósito general, en esa oportunidad fueron 14 transacciones por valores que iban entre los $43 millones y los $548 millones. En total se extrajeron $3 mil 483 millones 442 mil 096.

De los recursos de Alimentación escolar, se detectaron seis movimientos que superaron los mil millones, de la sobretasa a la gasolina se contaron seis movimientos y la de Gestión de Riesgo dos. 

¿Hacia dónde se fue el dinero?

En cuanto al destino del dinero transferido, según la información entregada por el banco se estableció que fueron retirados por medio de sucursales Bancolombia, cajeros electrónicos, corresponsales bancarios, compras desde cuentas de ahorro y transferencias.

El ente de control reiteró que no se entiende por qué los movimientos rechazados que están en los reportes bancarios y que oscilaron entre $50 millones y $2 mil 188 millones, no fueron notificados por correo electrónico y precisa “no es posible cuestionar a la Administración municipal el hecho de no haber efectuado la revisión de los correos electrónicos el 24 de diciembre, teniendo en cuenta que el día fue decretado como no hábil y como tal no se tenía acceso al correo”.

En cuanto al lunes 27, el Tesorero fue a laborar con normalidad, sin embargo, dijo que ese día el servicio de internet fue deficiente por lo que no pudo acceder al correo institucional, motivo por el cual el reporte de las transacciones se pudo revisar el martes 28 de diciembre y agregó que la tarea de leer el correo era de la contratista de apoyo a la Tesorería General.

Además, uno de los aspectos en los que llamó la atención el Tesorero fue en que al terminar sus actividades diarias siempre deja desconectado el router y apaga el computador, pero al llegar el lunes 27 el equipo estaba conectado y al encender la pantalla mostró la página principal de Bancolombia.

Esta situación sumada al préstamo de las llaves entre dos contratistas, generó incertidumbre para el ente de control “frente a la responsabilidad que se le tilda a la Administración municipal sobre el presunto hurto donde pueden estar vinculados personal de la Administración municipal, tal como se ha podido evidenciar en el proceso auditor, directamente de la dependencia de Tesorería”, lugar en donde estaba ubicada la caja fuerte y en donde se vieron por última vez los token.

Ante las evidencias se consideran dos hipótesis, una es que el 24 de diciembre los movimientos fueron realizados desde la IP asignada al Tesorero y la segunda es que el equipo fue posiblemente objeto de manipulación e instalación de un programa de acceso remoto. Actualmente, este hecho es investigado por la Fiscalía.

Tras la orden de bloqueo dada el miércoles 28 desde la Tesorería a la entidad bancaria, se logró recuperar $137 millones 535 mil del crédito de la maquinaria, por lo que el valor del hurto finalmente asciende a $10 mil 849 millones 588 mil 334.

Las alertas que no se generaron 

Pero entrando al detalle, el ente de control expone que el viernes 24 de diciembre, las transacciones ilegales se empezaron hacer a las 8:22 a.m. y terminaron a las 4:11 p.m., en total fueron 22. Los movimientos aunque superaron los $10 mil 566 millones 319 mil, solo dos fueron aprobados y sumaron $630 millones. Al parecer fueron enviadas a las cuentas de una empresa y una particular, que se habían inscrito el mismo día.

“La situación anterior, no generó para la entidad financiera Bancolombia, ninguna alerta, ante el número de transferencias fallidas las cuales ascendían a la suma de $10 mil 449 023 mil 338”, se precisa en el informe. 

Asimismo, se cuestiona que las dos transferencias efectivas por los $630 millones, no tienen evidencia de notificación por correo electrónico, tampoco se emitió los respectivos mensajes sobre los traslados rechazados.

“Se encontró un evento en el cual se realiza pagos a proveedores en archivo plano, cuando el mismo solo se utiliza para pago de nómina”, el ente de control también llama la atención en que en medio de los intentos fallidos, no existió pronunciamiento por parte de la entidad.

Y el lunes 27 se hicieron 59 operaciones financieras desde las cuentas de Bancolombia a diferentes usuarios, las cuales ascendieron a $20 mil 867 millones 040 mil 434, pero solo fueron exitosos 27 movimientos que equivalieron a $10 mil 357 millones 123 mil 589.

“Resultado que tampoco fue advertencia de alarma para la entidad financiera, con el agravante que no solo el total de transferencia superó la cuantía máxima por día que realiza normalmente la administración (…)”, se señala por parte del ente de control.

También se cuestiona que no hay evidencias de las comunicaciones que se debieron originar tras las transferencias aprobadas y las rechazadas, igualmente, no se generó alerta del banco tras operaciones que tuvieron segundos de diferencia.

Otro de los aspectos en que indagó la Contraloría, fue sobre quiénes tenían acceso a las llaves de la Oficina de Tesorería para los días 24 y 27 de diciembre, la respuesta recibida fue que eran el Tesorero General y una contratista de apoyo al área de Tesorería. Y se precisa que el 23 de diciembre se le prestó temporalmente las llaves a otra contratista de apoyo del área de Fiscalización y Tesorería.

¡Hagamos región y apoyemos lo nuestro! 

Lo invitamos a seguir leyendo aquí 

https://digital.elnuevodia.com.co/library