El Incibe informa de una campaña de phishing para suplantar a entidades públicas utilizando datos de la Plataforma de Contratación del Sector Público.
Los correos electrónicos simulan venir de una entidad pública con la cual la empresa destinataria tiene algún contrato, y pueden utilizar información obtenida en esa plataforma (número de expediente, nombre del contrato), dando credibilidad a la solicitud de remisión de facturas para, supuestamente, proceder a su abono.
Si se envía alguna factura como respuesta a estas peticiones, además de la fuga de información sensible, el propio documento puede ser modificado para que la administración deudora reciba una factura fraudulenta que solo se diferencia de la legítima en el número de cuenta, que pasa a ser la de los cibercriminales. Si en la administración afectada no se detecta el engaño, el pago por los servicios o productos irá a la cuenta fraudulenta.
Además de los controles que se implantan en las administraciones públicas para evitar este tipo de estafas, las personas destinatarias de estos mensajes pueden efectuar una comprobación básica sobre el propio correo: la dirección del remitente no se corresponderá con el dominio corporativo del organismo que pide la factura. En general, pero mucho más en caso de que se detecte algún indicio sospechoso, antes de enviar lo que se solicita la recomendación es contactar por otro medio con el organismo solicitante para verificar la legitimidad del mensaje. Además, si la empresa dispone de personal dedicado a la Seguridad de la Información, se le pasará aviso para que hagan las investigaciones oportunas.
Este intento de estafa puede afectar a empresas de todos los tamaños y sectores, incluso a autónomos, que presten servicio a alguna administración pública. Por otra parte, este modo de operar por parte de los estafadores también puede llevar a que sean empresas privadas las que reciban facturas de proveedores modificadas de manera análoga. La recomendación imprescindible en ambos casos es disponer de un protocolo estricto para verificar todos los datos de las comunicaciones implicadas en los procesos de facturación y pagos, e incluso establecer canales de comprobación alternativos al correo electrónico.
En el portal del Incibe se ofrecen consejos detallados sobre esta estafa y los pasos recomendados en caso de detectarla.
