Suplantan al Ayuntamiento de Gijón para intentar estafar por email a adjudicatarios de contratos públicos

La suplantación a través de llamadas telefónicas o correos electrónicos de empresas o administraciones para tratar de obtener mediante engaños un pago o datos confidenciales de la víctima de esta estafa es una práctica muy extendida que recibe técnicamente la denominación de 'phishing'. En diciembre el Instituto Nacional de Ciberseguridad (Incibe) ya lanzó una alerta de importancia «alta» (un nivel 4 sobre 5) sobre la existencia de «una campaña de correos fraudulentos que suplanta a entidades públicas de contratación y se dirige a empresas que posiblemente han participado en alguna de las ofertas publicadas en la Plataforma de Contratación del Sector Público». Informaba entonces de que esos correos «siguen una estructura similar» y se apoyan «en el hecho de que la empresa haya participado o esté participando en alguna oferta de contratación pública, para hacer más creíble el engaño y realizar así un ataque dirigido».

Añadía que en esos correos «incluso se añade el nombre del servicio del contrato y el número con el que está registrado en la plataforma de contratación, solicitando la colaboración de la empresa, a la que se le piden una serie de documentos con datos sensibles para dar conformidad al contrato». Además «solicitan una repuesta inmediata a la recepción del correo, probablemente para que los ciberdelincuentes puedan tener constancia de que ese buzón de correo se encuentra activo y de este modo continuar con el engaño».

El 'modus operandi' es el mismo que se está dando estos días con una suplantación que tiene como protagonista involuntario al Ayuntamiento de Gijón. Alguna de las empresas, de hecho, recibió el correo tan solo un día después de saber que había resultado adjudicataria de un contrato municipal al que optaba a través de un concurso público. En él, como indicaba la alerta del Incibe, se mencionan literalmente el objeto del contrato y su número de expediente y se reclama al destinatario «un certificado de titularidad de la cuenta bancaria», así como «acreditar el pago de los anuncios de licitación», haciendo referencia a la normativa en materia de contratación con las administraciones públicas, si bien uno de los reales decretos que cita ni siquiera está ya en vigor. También pedía «demostrar estar al corriente en el cumplimiento de las obligaciones tributarias y de Seguridad Social» y «enviar los justificantes en PDF» referentes al pago de la garantía que se suele exigir cuando se logra un contrato público, así como «confirmación de la recepción de este aviso».

En un segundo correo, después de que la empresa contestara al primero extrañada por alguna de las solicitudes –en su momento ya había acreditado estar al día con Hacienda y con la Seguridad Social y había presentado un aval bancario con la garantías solicitada–, el remitente añadía que «faltan los gastos de publicidad por publicación en el BOE y el DOUE (Diario Oficial de la Unión Europea» porque «estamos obligados a publicar todo en el Boletín Oficial del Estado», cifrando ese gasto en 1.230 euros. Lo cierto es que ni el concurso fue publicado en ningún momento en el BOE, ni en adjudicaciones anteriores la empresa se había encontrado con esa petición. En este segundo correo, además, se atribuía esa obligación de pago al «Real Decreto Legislativo 3/2024», que en realidad lo que regula es el programa del Ministerio de Transportes de descuentos para jóvenes para viajar en verano. Finalmente se urgía a la víctima a realizar el pago «entre hoy y mañana».

Los envíos fraudulentos contienen un texto aparentemente escrito de manera automática, mediante un formulario, en el que partes genéricas –como un «estimados» inicial sin referencia concreta a nadie– se intercalan con datos específicos del contrato cuya redacción es excesivamente literal –al hacer referencia al objeto del mismo, incluso mencionan sin ser necesarios el procedimiento de contratación que se ha seguido o el tipo de criterios de adjudicación incluidos en el mismo–. El propio asunto del correo electrónico es un genérico «Requisitos para la formalización del contrato». Y el remitente, que dice ser la «Intervención General», utiliza una dirección cuyo dominio –la parte que aparece después de la arroba (@)– no pertenece ni siquiera al Ayuntamiento de Gijón. En concreto es un inexistente '@contratospublicosgob.org', cuando las direcciones del personal municipal utilizan el formato '@gijon.es'.

Otro elemento discordante, en la firma del correo, es que, junto al escudo municipal, aparece como único medio de contacto telefónico un número de teléfono móvil –que nunca responde–, pero ninguno fijo, y menos aún correspondiente a la red municipal. De hecho, si se llegara a contactar directamente con el Consistorio la respuesta sería, como confirman fuentes municipales, que ni la persona que firma el correo fraudulento ni el cargo que dice ocupar forman parte de su plantilla.

El Ayuntamiento recuerda que en casos como la adjudicación de contratos los requerimientos de pago de cualquier cuantía siempre se hace a través de notificación electrónica y no mediante un correo como el utilizado en este intento de estafa. Remarca además la importancia de que todos los proveedores y empresas comprueben siempre que las comunicaciones que les llegan están verificadas y siguen los cauces oficiales. Desvincula en cualquier caso lo ocurrido con la aparición la pasada primavera, como adelantó EL COMERCIO, de un ordenador no inventariado que estaba oculto en un armario y conectado a la red municipal, cuestión que en su momento ya fue denunciada a la Policía. Ese incidente se sumaba a otro aún reciente como fue el 'hackeo' –con petición de rescate incluida– que en 2022 obligó a desconectar toda la red informática y paralizó los trámites digitales durante varios días. No obstante, los datos sobre adjudicación de contratos, e incluso el modo de contacto con las empresas, son en la mayoría de los casos de acceso público.

Como indica el Incibe, cada vez son más frecuentes acciones como esta ciberestafa. De ahí que entre las medidas adoptadas al inicio del presente mandato por el actual gobierno local estuviera la creación de una dirección general de Protección de Datos que incluye entre sus competencias todos los asuntos relacionados con la ciberseguridad. «Antes el Ayuntamiento no tenía ningún departamento dedicado a esta cuestión, pero gracias a esa dirección general se puede actuar contra este tipo de intentos de estafa», destacan desde el Consistorio.