Según la leyenda griega, el todopoderoso Zeus, en venganza por el secuestro del fuego por Prometeo, creó una caja que contenía todos los males del mundo y todas sus esperanzas. La orden de no abrir nunca la caja no duró mucho. Pandora, pródigamente dotada de dones y belleza, pronto se casa con el hermano de Prometeo y, poco después de su boda, abre la caja que le fue entregada. En ese momento, todo el mal encerrado en la caja escapa, aparentemente incapaz de ser recapturado hasta el día de hoy.
Tal o parecido fue el resultado del interrogatorio de un director informático de Wirecard en la sala del tribunal de la prisión de Munich-Stadelheim el 17 de mayo de 2023. La testigo N. fue hasta la insolvencia de Wirecrd responsable de asuntos tecnológicos en Wirecard Europa y Asia-Pacífico, desempeñando funciones de vicepresidenta (VP). Fue una de las primeras empleadas de Wirecard, contratada en 2005 tras unas prácticas de seis meses en la empresa. También fue su primer trabajo real. Al principio trabajó como desarrolladora de software para Wirecard durante un total de 5 años. Es muy posible que, al menos durante sus primeros años en Wirecard, trabajara con o a las órdenes de Jan Marsalek, que inicialmente era el responsable de desarrollo de software. A partir de 2010 trabajó como analista de negocio, dos años más tarde como Responsable de Emisión en el entorno SAP, otros dos años después pasó a ser Vicepresidenta de Tecnología, desde entonces responsable de la supervisión de las arquitecturas y sistemas informáticos de Wirecard en Europa y Asia-Pacífico.
La testigo N. declara en un primer momento ante el tribunal que durante su etapa como VP de Tecnología dependía exclusivamente de la directora general Susanne Steidl. Afirma que nunca tuvo ningún contacto con Jan Marsalek ni con el Dr. Braun, que se sienta a unos metros a su izquierda. Ni siquiera a través de Telegram, que se utilizaba como principal herramienta de comunicación interna para mensajes y llamadas - WhatsApp no estaba permitido en Wirecard.
Las cosas se ponen interesantes cuando el testigo N., bajo el interrogatorio del presidente del tribunal, empieza a arrojar luz sobre las arquitecturas informáticas de Wirecard. Wirecard tenía pocos servidores informáticos propios, la empresa subcontrataba en cambio sus datos y aplicaciones a proveedores de servicios externos. En su sede de Múnich, Nordisk Networks era una de las empresas contratadas para ello. También había centros de datos en Austria y Dubái, algunos socios terceros en Singapur y Asia tenían centros de datos propios o subcontratados. Al parecer, coincidiendo con el lanzamiento
del llamado 'Elastic Engine' propio de Wire card a principios de 2019, se produjo un aumento en el uso de Cloud-Services adicionales, es decir, ordenadores subcontratados que almacenarían no solo datos, sino que también podrían ejecutar la lógica del programa en nombre de Wirecard. Algunas de estas nubes se establecieron en el gigante proveedor de servicios de TI Amazon (AWS), nada menos que en Toronto, Canadá.
Sin embargo, a principios de 2019, se introdujo la entonces nueva plataforma 'Elastic Engine' de Wirecard, que finalmente permite una evaluación fiable de extremo a extremo de las transacciones de terceros. En consecuencia, se amplió el alcance de la auditoría, pero debido al gran volumen de transacciones de 200 millones de líneas de datos solo para diciembre de 2019, simplemente no hubo tiempo suficiente para que KPMG revisara completamente este conjunto de datos. La buena noticia es que KPMG aún pudo publicar una evaluación preliminar que mostraba que los volúmenes de transacciones eran coherentes con la contabilidad del socio y se reflejaban con exactitud en los estados financieros.
"Wirecard bombardea
de nuevo" artículo fechado el 4 de mayo de 2020.
La pieza clave de la arquitectura informática de Wirecard, denominada "Elastic Engine", podía replicarse para funcionar en un gran número de servidores. Witness N. afirma que hubo al menos una solicitud para externalizar todo el código fuente a un socio externo, provino de Jan Marsalek en algún momento de 2019. El proyecto fue abandonado poco después. Es interesante señalar también que después de que se encargara el proyecto, un empleado llamado Manoj Sahu fue trasladado a Toronto en el proveedor de servicios en la nube de Wirecard para gestionar estas instancias en la nube desde allí. Sahu trabajaba directamente bajo las órdenes de Jan Marsalek y, en su mayor parte, solo rendía cuentas al fugitivo director de operaciones de Wirecard. Esto abre todo un abanico de posibilidades, al menos teóricas, en relación con los
enredos de Wirecard con Canadá y PaySafe. Dado que Elastic Engine puede considerarse una pasarela de software que sólo distribuía solicitudes de transacciones monetarias para su posterior procesamiento, Wirecard necesitaba una serie de servidores e instancias adicionales de procesamiento de tarjetas de crédito, ubicados inicialmente en Dubai y posteriormente también en Munich.
Tras las discusiones sobre las arquitecturas informáticas fundamentales de Wirecard, el tribunal parece abrir por completo la caja de Pandora cuando muestra algunas conversaciones de correo electrónico sobre el monitor. En una cadena de mensajes de 2018,
A la pregunta de si las direcciones FTP claramente reconocibles y las claves de contraseña API para recuperar datos directamente de ordenadores en red significarían algo para ella, lo niega. Los logins de acceso confidencial de hace unos años, reconocibles para cualquier informático medianamente experto aquí, "no significan nada" para ella.
La testigo N. pregunta a Toronto si no podría tener una visión precisa de las arquitecturas informáticas de los socios terceros, así como una visión general de todas las instancias en la nube. Se le dio la siguiente respuesta
"Las instancias de marca blanca se proporcionan en la nube, normalmente para PSP. Las instancias de marca blanca
se ejecutan de forma independiente en la nube, nosotros sólo proporcionamos el soporte técnico".
Otro de los grandes males de la caja de Pandora se libera cuando el juez lanza otro fragmento de correo electrónico de hace varios años al monitor del tribunal. A la pregunta de si las direcciones FTP claramente reconocibles y las claves de contraseña API para recuperar datos directamente de ordenadores en red significarían algo para ella, niega. Las claves de acceso confidencial de hace unos años, reconocibles para cualquier informático medianamente experto en la materia,
"no significan nada" para ella. Las cosas se ponen aún más pandóricas cuando el juez muestra en la pantalla una lista de 45 servidores globales en la nube. Cuando se le pregunta si conoce estos servidores, responde, y cito textualmente,
"no, nunca he oído hablar de ellos".
La caja de Pandora aún deparaba algunas sorpresas cuando el tribunal preguntó por el volumen real de transacciones en los servidores de Wirecard. El testigo respondió que esa cifra rondaba los 40 millones durante un buen mes, muy lejos de las cifras previstas para el proyecto "Visión 2025" de Wirecard a partir de 2019. Las sacadas de la caja de Pandora continuaron cuando se procararon en el juicio afirmaciones como que "
Bellenhaus es una máquina de hacer dinero, pensaba que era un sistema eficaz para ahorrar impuestos ". O que algunos empleados de Wirecard sabían desde hacía tiempo que en Card Systems no trabajaba literalmente nadie y que desde hacía tiempo se preguntaban de forma autocrítica
: "¿Quién gana realmente todo el dinero allí?
También fueron emocionantes los asuntos relacionados con la
gigantesca inversión de Softbank en Wirecard, a menudo demasiado desapercibida, a partir de abril de 2019. Susanne Steidl, miembro del consejo de administración y elegida como una de las
100 mujeres más influyentes de toda la economía alemana en 2018 y 2019 -además de entre las top tech más influyentes del mismo país al mismo tiempo-, se presentó de repente en el despacho del testigo y exigió una base de datos completa con todos los datos de transacciones de los últimos años, incluidos los confidenciales. Cuando el testigo preguntó que eso no era tan fácil de hacer y para qué era, la Sra. Steidl respondió que
"Jan Marsalek lo necesitaba para Softbank". Al cabo de unas semanas, recibió el archivo de unos 150 GB en un pequeño disco duro. Por si fuera poco, la testigo confirmó que Steidl le solicitó tiempo después una segunda tabla de datos de este tipo con todas las transacciones financieras, con información aún más detallada.
También fue impresionante escuchar a la testigo explicar que en un evento en el extranjero en mayo de 2019, las preguntas apremiantes de los propios empleados de Wirecard sobre quién era exactamente el responsable de las numerosas ventas fueron contrarrestadas con el argumento de Pandora de "clientes importantes que no se nos permite mencionar
Aquí, en la sala del tribunal, también se leyeron correos electrónicos en los que se afirmaba que supuestamente era posible extraer parcialmente información completa de tarjetas de crédito de estas listas de datos.
Al parecer, la lista electrónica de unos 200 millones de registros de transacciones financieras, entregada a KPMG para su auditoría especial, era sólo un subconjunto más pequeño de las dos listas Pandora antes mencionadas. Las tablas de datos de KPMG contenían sólo de 8 a 10 campos de columnas, muy poca información para realizar un seguimiento completo de las transacciones. Debido al gran tamaño de las listas y los registros, el testigo volvió a llamar a Toronto para recibir todos los datos de transacciones relevantes de sus servidores en la nube. Sin embargo, un amable caballero se negó inmediatamente a facilitarle información detallada. Le dijo que no estaba autorizada a obtener datos aquí y enseguida pulsó el botón rojo para poner fin a la conversación telefónica.
También fue impresionante escuchar al testigo explicar que en un evento en el extranjero en mayo de 2019, las preguntas apremiantes de los propios empleados de Wirecard sobre quién era exactamente el responsable de las numerosas ventas fueron contrarrestadas con el argumento de Pandora de
"clientes importantes que no se nos permite mencionar". Poco después, Susanne Steidl, miembro de la junta directiva de Wirecard y anteriormente elegida supergerente para toda Alemania, llamó para impedir que se hicieran más preguntas y dejó claro que a partir de ese momento estaba prohibido seguir hablando de este tema.
La testigo de Wirecard VP cuenta además que rara vez había experimentado personalmente un comportamiento inusual por parte de los miembros del consejo de supervisión y ejecutivo. Excepto una vez en 2019 más o menos, cuando se olvidó de pagar un ticket de infracción de aparcamiento de un coche de empresa. El director financiero von Erffa se puso inmediatamente en contacto con la testigo personalmente y le advirtió en tono duro que se contuviera de ese comportamiento en el futuro, ya que Wirecard tuvo que pagar costes innecesarios de alrededor de 10 euros en su nombre.
El Dr. Braun terminó el día haciendo algunas preguntas, también sobre las bajas cifras de transacciones, que en realidad eran reservas netas relacionadas sólo con Europa y Asia-Pacífico. Al parecer, no se incluyó en absoluto a Prject Aslam en las transaciones, que supusieron entre 20.000 y 30.000 millones adicionales. Además, las cifras que presentó se referían únicamente a 4 de los 11 países en los que Wirecard operaba. Cuando el Dr. Braun preguntó cuántos adquirentes estaban realmente conectados al Motor de Pagos en 2019, la testigo fue incapaz de dar una respuesta.
Un nombre de empresa siguió apareciendo en todas las discusiones y preguntas, incluidas las del Dr. Braun: One Stop Money Manager.
Al parecer, uno de los últimos males de la caja de Pandora.
Deja un comentario:
Enviar
Este artículo ha sido creado y escrito íntegramente por Martin D., un acreditado e independiente periodista de investigación de Europa. Tiene un MBA de una universidad estadounidense y una licenciatura en sistemas de información y ha trabajado al principio de su carrera como consultor en Estados Unidos y la UE. No trabaja, no asesora, no posee acciones ni recibe financiación de ninguna empresa u organización que pueda beneficiarse de este artículo hasta el momento.
Apoye el periodismo de investigación independiente. Cómprame un té verde o un café: