El Ayuntamiento de Gijón afirma que ninguno de sus proveedores ha caído en la ciberestafa

El intento de estafa llevado a cabo por ciberdelincuentes que, suplantando la identidad del Ayuntamiento de Gijón, se pusieron en contacto con empresas adjudicatarias de contratos públicos para tratar de que les realizaran una serie de pagos parece haber quedado en eso, en mero intento. Según apuntaron fuentes municipales, en el Ayuntamiento «no hay constancia de que ninguna empresa o proveedor haya sido estafado, por lo que hay tranquilidad total al respecto».

Tal y como publicó este periódico, al menos tres empresas recibieron sendos correos electrónicos (supuestamente del Ayuntamiento de Gijón) en los que se les reclamba un pago que, según decía el escrito, era necesario para completar el proceso de formalización del contrato municipal que se les había adjudicado en concurso público.

El Consistorio ya está estudiando estos casos, que alguna de las empresas afectadas pondrá además en conocimiento de la Policía Nacional para que la unidad de delitos informáticos trate de averiguar el origen de este intento de estafa y evitar que haya nuevas víctimas.

La suplantación a través de llamadas telefónicas o correos electrónicos de empresas o administraciones para tratar de obtener mediante engaños un pago o datos confidenciales de la víctima recibe técnicamente la denominación de 'phishing'. «Son intentos de estafa muy comunes en la actualidad, tanto suplantando la identidad de administraciones públicas como de empresas privadas», comentan desde el Consistorio gijonés. Su recomendación para evitar ser víctima de los ciberdelincuentes es «comprobar que el proceso reúna todas las garantías» y, por norma general, «evitar siempre proporcionar contraseñas, datos bancarios y datos personales».

En diciembre el Instituto Nacional de Ciberseguridad (Incibe) ya lanzó una alerta de importancia «alta» (un nivel 4 sobre 5) sobre la existencia de «una campaña de correos fraudulentos que suplanta a entidades públicas de contratación y se dirige a empresas que posiblemente han participado en alguna de las ofertas publicadas en la Plataforma de Contratación del Sector Público».

En esos correos «incluso se añade el nombre del servicio del contrato y el número con el que está registrado en la plataforma de contratación, solicitando la colaboración de la empresa, a la que se le piden una serie de documentos con datos sensibles para dar conformidad al contrato».

El 'modus operandi' es el mismo que se está dando estos días con la suplantación del Ayuntamiento de Gijón. Alguna de las empresas recibió el sospechoso correo tan solo un día después de saber que había resultado adjudicataria de un contrato municipal. En él, como indicaba la alerta del Incibe, se mencionan literalmente el objeto del contrato y su número de expediente y se reclama al destinatario «un certificado de titularidad de la cuenta bancaria», así como «acreditar el pago de los anuncios de licitación», haciendo referencia a la normativa en materia de contratación con las administraciones públicas, si bien uno de los reales decretos que cita ni siquiera está ya en vigor. También pedía «demostrar estar al corriente en el cumplimiento de las obligaciones tributarias y de Seguridad Social» y «enviar los justificantes en PDF» referentes al pago de la garantía que se suele exigir cuando se logra un contrato público, así como «confirmación de la recepción de este aviso».

 

En un segundo correo, después de que la empresa contestara al primero extrañada por alguna de las solicitudes –en su momento ya había acreditado estar al día con Hacienda y con la Seguridad Social y había presentado un aval bancario con la garantías solicitada–, el remitente añadía que «faltan los gastos de publicidad por publicación en el BOE y el DOUE (Diario Oficial de la Unión Europea» porque «estamos obligados a publicar todo en el Boletín Oficial del Estado», cifrando ese gasto en 1.230 euros. Lo cierto es que ni el concurso fue publicado en ningún momento en el BOE, ni en adjudicaciones anteriores la empresa se había encontrado con esa petición. En este segundo correo, además, se atribuía esa obligación de pago al «Real Decreto Legislativo 3/2024», que en realidad lo que regula es el programa del Ministerio de Transportes de descuentos para jóvenes para viajar en verano. Finalmente se urgía a la víctima a realizar el pago «entre hoy y mañana».

Los envíos fraudulentos contienen un texto aparentemente escrito de manera automática, mediante un formulario, en el que partes genéricas –como un «estimados» inicial sin referencia concreta a nadie– se intercalan con datos específicos del contrato cuya redacción es excesivamente literal –al hacer referencia al objeto del mismo, incluso mencionan sin ser necesarios el procedimiento de contratación que se ha seguido o el tipo de criterios de adjudicación incluidos en el mismo–.

El propio asunto del correo electrónico es un genérico «Requisitos para la formalización del contrato». Y el remitente, que dice ser la «Intervención General», utiliza una dirección cuyo dominio –la parte que aparece después de la arroba (@)– no pertenece ni siquiera al Ayuntamiento de Gijón. En concreto es un inexistente '@contratospublicosgob.org', cuando las direcciones del personal municipal utilizan el formato '@gijon.es'.

Otro elemento discordante, en la firma del correo, es que, junto al escudo municipal, aparece como único medio de contacto telefónico un número de teléfono móvil –que nunca responde–, pero ninguno fijo, y menos aún correspondiente a la red municipal. De hecho, la persona que firma el correo fraudulento no forma parte de la plantilla.

Cabe recordar que, en casos como la adjudicación de contratos, los requerimientos de pago de cualquier cuantía siempre se hacen a través de notificación electrónica y no mediante un correo como el utilizado en este intento de estafa. El Ayuntamiento remarca además la importancia de que todos los proveedores y empresas comprueben siempre que las comunicaciones que les llegan están verificadas y siguen los cauces oficiales.

• Temas
• Ayuntamiento de Gijón
• Policía Nacional
• Banca online
• Bizum
• Ciberataque
• Ciberseguridad
• Hackers
• Internet
• Phishing
• Timos y estafas