La compañía informa al regulador estadounidense (SEC) que los atacantes se apropiaron de esa suma tras hackear el correo de un alto directivo de la filial online de la multinacional española del juego, que ya sufrió una brecha de seguridad en 2020.
El diario.es recoge esta información que en su origen se remonta al primer semestre de 2022. A través de la cuenta de correo de ese alto directivo de Codere, los atacantes “se hicieron pasar por agentes del equipo comercial de Codere Online” para enviar a diversos proveedores del grupo “solicitudes de pago ilegítimas adjuntando facturas manipuladas”.
El resultado es que Codere Online ha tenido que reconocer en sus cuentas que ha realizado “determinados pagos de facturas pendientes por un importe aproximado de 744 miles de euros a cuentas en el extranjero controladas por el suplantador”, y no por sus verdaderos proveedores, según ha explicado Codere a las autoridades estadounidenses.
La compañía señala que se puso en contacto con los bancos involucrados en las transferencias en cuanto tuvo conocimiento de los hechos. Pero, “hasta la fecha, Codere Online ha recuperado una mínima parte” de esa cifra. Según Codere, se trata de “un evento aislado” y con este ciberataque “no se pusieron en riesgo los depósitos de cuenta de los usuarios ni sus contraseñas”, ni se accedió a los datos confidenciales de sus usuarios.
“Codere Online continúa persiguiendo la recuperación de las cantidades transferidas” y “puede estar limitada en la información que puede divulgar” sobre este caso “ya que actualmente está considerando acciones legales”, dice la compañía en un documento que acaba de remitir a la SEC. El grupo se ha comprometido a detallar las medidas adoptadas para remediar esta situación en su informe anual.
Tras una investigación interna, la compañía ha señalado que, pese a que los atacantes tuvieron acceso a la información de la cuenta de correo de ese alto directivo, salvo por los datos disponibles en ella, “no hay evidencia” de que se haya tenido acceso a ninguna información corporativa de la compañía, incluyendo la financiera o contable. Esa investigación, añade, “no ha encontrado pruebas de la involucración de ningún empleado de la compañía” en el fraude.
Pero la dirección de la compañía ha tenido que reconocer a la SEC la existencia de diversas “debilidades” en sus controles internos. En primer lugar, “en el control interno sobre la información financiera” de la filial, por un “diseño inefectivo” y controles insuficientes sobre su sistema de pagos; y en segundo lugar, por la incapacidad de sus sistemas de ciberseguridad para evitar el ataque.
Así, la empresa ha reconocido que “Codere Online no mantuvo controles efectivos” sobre sus sistemas de tratamiento de la información “como consecuencia de la existencia de ciertas debilidades materiales en el control interno” sobre el reporte de su información financiera. Codere asegura que tras el incidente esos controles internos se han “mejorado” y se ha comprometido con la SEC a ampliarlos. Es, asegura, una de las “principales prioridades” de su equipo gestor.
18+ | Juegoseguro.es – Jugarbien.es
