La noticia circuló por primera vez en marzo último. El Departamento de Justicia de los Estados Unidos anunció que un lituano de nombre Evaldas Rimasauskas estaba acusado de robar 100 millones de dólares a «dos compañías multinacionales» bajo una campaña de phishing. En ese momento, los nombres de las compañías no trascendieron, pero Fortune reveló tras una larga investigación que las víctimas fueron Facebook y Google. La gran mayoría de los fondos ya se recuperaron, pero hay un pequeño detalle: Ninguna de las dos compañías informó a sus accionistas sobre la estafa.
La historia comienza con Evaldas Rimasauskas, lituano de 48 años, quien en 2013 inició una compleja campaña de phishing vía correo electrónico. Rimasauskas se hizo pasar por nada menos que Quanta Computer, gigante taiwanés del hardware con una notable lista de clientes, entre los que se destacan Apple, Amazon, Hewlett-Packard, Cisco y Sony. Rimasauskas se tomó el trabajo de falsificar direcciones de e-mail, recibos, y sellos corporativos a un nivel tal que logró engañar a sus víctimas por dos años. La suma extraída por Rimasauskas ascendió a 100 millones de dólares, distribuidos en múltiples cuentas a través de todo el este de Europa.
La acusación formal por parte del Departamento de Justicia fue presentada en diciembre de 2016, pero el proceso se volvió público en marzo pasado. Con el estafador bajo custodia en Lituania esperando su extradición y la suma final calculada, lo único que quedaba por establecer era la identidad de las víctimas. La gente de Fortune llevó a cabo su propia investigación interna, y después de varias entrevistas pudo confirmar que las compañías afectadas son Facebook y Google. Ambos titanes de la Web indicaron que lograron recuperar el dinero, y desde su punto de vista consideran al incidente terminado (o por lo menos, hasta que Rimasauskas vaya a juicio). Sin embargo…
… lo que llama la atención es el silencio previo. De acuerdo a las leyes de valores vigentes, las compañías públicas deben entregar a sus accionistas toda la información disponible sobre «eventos significativos», y el robo de 100 millones de dólares cae dentro de esa categoría, pero al estudiar los registros públicos de Google y Facebook, no aparece nada relacionado a la estafa. En teoría, esta omisión no viola las guías de la Comisión de Bolsa y Valores, y personas cercanas a ambas compañías dijeron que el caso de Rimasauskas no fue lo suficientemente grande como para informarlo. Aún así, esa decisión siembra una semilla de duda. ¿Qué tan buena es la seguridad interna? ¿Cómo se controlan los bienes? Por más que los fondos hayan sido recuperados, no transmite un gran sentido de responsabilidad callar el robo de millones de dólares.