El Gobierno alerta a las empresas que participan en licitaciones públicas sobre una estafa que se realiza mediante técnicas de suplantación de identidad a través del portal de contrataciones. Las compañías que acuden a este tipo de concursos han de depositar una cantidad económica en concepto de "garantía definitiva" para acudir a la licitación. El Ministerio de Asuntos Económicos y Transformación Digital avisa mediante cartas a las empresas de que se están enviando correos falsos haciéndose pasar por este organismo para reclamar a las empresas las garantías. Una situación con la que el Ejecutivo lidia desde hace meses.
Las cantidades totales estafadas "pueden ascender a millones de euros", según fuentes del sector de la ciberseguridad consultadas por este diario. Se trata de una técnica de estafa denominada phishing o suplantación de identidad a través de la cual los ciberatacantes se hacen pasar por una empresa u organismo de confianza para, como decimos, reclamar una cantidad económica.
"Dado que los adjudicatarios de los contratos con el Estado están obligados a constituir una fianza, que asciende habitualmente al 4% del presupuesto total, y que hablamos de contratos que pueden ser de decenas o centenares de millones de euros, en muchos casos es fácil calcular que los importes individuales de las estafas pueden llegar a ser muy significativos", asegura Miguel López, director general de la empresa de seguridad informática Barracuda Networks.
"Se ha detectado que los licitadores de los contratos públicos reciben correos electrónicos fraudulentos en los que se suplanta, bien la identidad de la Plataforma de Contratación del Sector público (PLACSP), bien la del Responsable del Órgano de Contratación (ROC), con objeto de que la empresa adjudicataria ingrese la garantía definitiva en una cuenta corriente o emita la correspondiente factura y la envíe al ROC para ser objeto de revisión", explica el Ministerio de Asuntos Económicos en una de estas cartas, a la que ha tenido acceso Vozpópuli.
La estafa se consuma al pulsar un enlace
El documento en el que se alerta de la estafa refleja que "la última casuística de la que tenemos constancia es la suplantación de la PLACSP mediante un correo de supuesta reactivación de cuenta de usuario registrado con destino a operadores económicos, con la finalidad de que pulsen un enlace para concluir el proceso".
Desde la Plataforma de Contratación del Sector Público se pide a las empresas que reciban correos desde otras direcciones diferentes a las habituales (ver el documento que se adjunta en el cuerpo de texto) que avisen a través del mail licitacionE@hacienda.gob.es y no realicen ninguna de las acciones indicadas por la dirección desconocida.
Aumentan los ciberataques con la guerra de Ucrania
Los ciberataques sobre la Unión Europea han aumentado desde el principio de la guerra de Ucrania. Una situación que empujó a Margarita Robles a alertar de ello antes de la cumbre de la OTAN. El peligro de un ciberataque ruso sobrevoló la cita, tal y como avisó la titular de Defensa, si bien no se ha conocido si finalmente se produjo algún incidente.
El riesgo de sufrir ciberataques ya era alto antes de la contienda, tal y como aseguran desde empresas dedicadas a la seguridad informática. "Incluso antes de la guerra en Ucrania, los ciberataques eran un problema enorme, ya que las investigaciones realizadas en 2020 mostraban que se producía un ataque cada 11 segundos, y se prevé que la ciberdelincuencia costará 10,5 billones de dólares en todo el mundo en 2025. Podemos esperar que cualquier conflicto geopolítico exacerbe el número de ciberataques. Sobre todo, teniendo en cuenta que muchos estados-nación utilizan ahora este tipo de ataques como parte de su arsenal bélico", explica Mario Calle, vicepresidente senior del sur de Europa de la empresa GTT.
Estos ciberataques se producen cada vez más en entornos en la nube. GTT ofrece servicios SASE, que permiten unificar los servicios de redes y seguridad en el cloud. "Los últimos tres años han cambiado la forma de trabajar y esto tiene una implicación tecnológica. SASE (Secure Access Service Edge) responde a la creciente necesidad de un acceso sencillo y seguro a los recursos de la empresa, en un entorno caracterizado por el uso generalizado de las tecnologías digitales, la amplia adopción de utilización de aplicaciones en la nube y una fuerza laboral trabajando en remoto. SASE ofrece garantías de seguridad de primer nivel, desde el centro de datos hasta el usuario final y los dispositivos, con medidas que amplían la filosofía de seguridad de la red conocida como Zero Trust", asegura Calle.