Phishing en Licitaciones | Las empresas, especialmente las pymes, microempresas y autónomos, en la actualidad son blancos frecuentes de ciberdelincuentes debido a la falta de medidas adecuadas para combatir incidentes de ciberseguridad. Es crucial reportar estos problemas para detectar a tiempo fraudes, nuevas amenazas de malware y fugas de información, siendo esencial para protegerse en un entorno cada vez más amenazador.

Phishing en licitaciones

¿QUÉ ES EL PHISHING?

Es una táctica fraudulenta que se lleva a cabo mayormente a través del correo electrónico, aunque también es común a través de mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas (vishing). 

El objetivo principal es obtener información confidencial y credenciales de acceso. Los ciberdelincuentes suelen hacerse pasar por entidades reconocidas, como bancos o empresas, para engañar a las víctimas. Los ataques phishing suelen incluir enlaces a páginas web fraudulentas con la misma apariencia que las legítimas, solicitando información personal y financiera. Después de obtener la información, las víctimas son redirigidas a la página real para ocultar el fraude hasta que se descubre y denuncia.

Sabemos que hoy en día el “dato” es el nuevo petróleo, es el activo de las empresas. Pero en esta ocasión, esos “datos” no van a ser recabados para fines estadísticos o publicitarios, sino con ánimo de estafar.

Por ello, el phishing (“pescar”) se ha convertido en una de las amenazas de ciberseguridad frecuentes en las PYMES. En este caso lo que se “pescan” son datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.

AVISO A LICITADORES Y CONTRATISTAS: 

En la actualidad, cada día son más los intentos de suplantación a entidades públicas de contratación a través de phishing. El Instituto Nacional de Ciberseguridad  (INCIBE) nos alerta de ello y nos da las pautas para evitar estas situaciones. 

Recientemente se ha detectado una campaña de correos fraudulentos de tipo phishing que suplanta a entidades públicas de contratación y se dirige a empresas que posiblemente han participado en alguna de las licitaciones publicadas en la Plataforma de Contratación del Sector Público.

MODUS OPERANDI:

▷ Los correos de esta campaña siguen un patrón uniforme. La entidad falsa presenta un nuevo proceso de implementación de herramientas tecnológicas, como un sistema de reconocimiento de firma digital.

▷ Se aprovechan de la participación de la empresa en licitaciones o concursos públicos para aumentar la credibilidad, incluyendo detalles como el nombre del servicio de contrato y su número registrado en la PLACSP.

▷ Solicitan a la empresa documentos con datos sensibles, piden una respuesta inmediata, posiblemente para confirmar la actividad del correo y continuar el engaño.

▷ Ejemplos de correos falsos identificados: ‘contratacion@jcyl.live’ o ‘contratacion@comunidad-madrid.cloud’

PARA DAR SOLUCIÓN: 

✅ Reacción Inmediata:

  • No responder al correo electrónico sospechoso.
  • Eliminar el mensaje de inmediato. 
  • Informar al equipo de IT y a los demás empleados para prevenir posibles víctimas.

✅ Verificación de Autenticidad:

  • Contrastar la información con la entidad suplantada para confirmar la autenticidad del fraude.

✅ En Caso de haber Respondido:

  • Recopilar evidencias, como capturas de pantalla.
  • Contactar a las Fuerzas y Cuerpos de Seguridad del Estado para presentar una denuncia.
  • Utilizar la sección «Reporta tu incidente» de Incibe para notificar el incidente.

CÓMO IDENTIFICAR UNA CAMPAÑA DE PHISHING Y PAUTAS PARA EVITARLO:

Las campañas fraudulentas de tipo phishing suelen contar con varios factores comunes que, gracias a su identificación, es posible detectarlas y evitar que puedan afectar a la seguridad de la empresa:

Analizar el remitente Este tipo de correos en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. Este es el primer indicador que ha de comprobarse. En otras ocasiones, los ciberdelincuentes utilizan la técnica email spoofing, que consiste en falsear el remitente.Para evitarlo, no conteste en ningún caso a los mensajes sospechosos.
Generar sensación de urgencia Incitan a acceder a una página web fraudulenta e introducir información confidencial. Los ciberdelincuentes suelen utilizar como ganchos la cancelación del servicio o cuenta, multas, sanciones por no acceder en tiempo y forma, etc. Durante la pandemia provocada por el COVID-19 los ciberdelincuentes se han adaptado para utilizar señuelos basados en esta temática y cualquier aspecto que pudiera englobarla, como los ERTE o ayudas gubernamentales.Para evitarlo: Sospeche de los mensajes inesperados que dicen ser urgentes y confidenciales.
Enlaces falseados Los enlaces suelen aparentar una web legítima. Para comprobar a dónde apunta realmente el enlace, se puede situar el ratón encima, y ver el cuadro de diálogo que figura en la parte inferior de la pantalla con la verdadera dirección, o utilizar herramientas online.Para evitarlo: tener precaución al seguir enlaces en correos electrónicos, aunque sean de contactos conocidos y precaución al descargar ficheros adjuntos de correos.
Comunicaciones impersonales Las comunicaciones de entidades legítimas suelen referirse a su destinatario utilizando nombre y apellidos. Por el contrario, los ciberdelincuentes no suelen conocer esos datos personales, por lo que las comunicaciones son impersonales.Para evitarlo: no abra correos de usuarios desconocidos o que no hayas solicitado. Elimínalos directamente.
Errores ortográficos y gramaticales Una auténtica comunicación de cualquier entidad no contendrá errores ortográficos o gramaticales, ya que la comunicación con sus clientes es un aspecto muy cuidado.Para evitarlo: fíjese en la redacción de los mensajes sospechosos recibidos. Suelen estar mal escritos o con faltas ortográficas.

Como recomendaciones: es imprescindible tener siempre actualizado el sistema operativo y el antivirus y comprobar que está activo. Es muy recomendable, además, firmar los mensajes de correo, por ejemplo añadiendo una firma PGP a las cuentas de la empresa.

CÓMO IDENTIFICAR UNA CAMPAÑA DE PHISHING Y PAUTAS PARA EVITARLO

FRAUDE A EMPRESAS MÁS COMUNES:

La suplantación de identidad se encuentra a la orden del día en el mundo digital. Entre los ataques de phishing más comunes a empresas destacan los siguientes: 

  • Fraude de la Agencia Estatal de Administración Tributaria (AEAT):

¿cuándo? Durante el período de la declaración de la renta entre abril y junio.

¿A través de qué? Se trata de una campaña de correos maliciosos que tratan de suplantar a la Agencia Tributaria, con el objetivo de obtener las credenciales de acceso del usuario a través de una página fraudulenta que suplanta a la legítima, o trata de infectar su dispositivo. 

¿Cómo? A través de avisos de notificaciones supuestas de la AEAT a través de correo electrónico, pero también a través de SMS (Smishing) donde el supuesto es que ha sido seleccionado para la devolución de dinero.

  • Phishing Bussines Email Compromise:

¿en qué consiste? en un fraude contra empresas que realizan transferencias digitales de dinero. Uno de los dos interlocutores ha sufrido una intercepción ilegítima por un agente externo (ciberdelincuente) la cual ha afectado a ambas partes.

  • Phishing fraude del CEO: en este caso, un empleado con capacidad para realizar transferencias o acceder a los datos de las cuentas, recibe un correo de su supuesto superior, bien el CEO, presidente o director de la empresa, donde se le pide ayuda para realizar una operación financiera de carácter urgente y confidencial.

¿Cuándo? Los ciberatacantes aprovechan periodos de ausencia o no disponibilidad del jefe por una reunión o viaje, acrecentando así la posibilidad de que la víctima no pueda verificar la autenticidad.

  • Whaling: Se trata de un tipo de suplantación de identidad que emplea técnicas de ingeniería social, lo cual requerirá que los empleados estén bien concienciados para no picar en el engaño. Es un tipo de phishing dirigido a personas concretas, a cargos de alto nivel dentro de una organización.

LA IMPORTANCIA DEL FACTOR HUMANO ANTE EL PHISHING

En la lucha contra fraudes, como el phishing, tus empleados son la primera línea de defensa. Son los guardianes de las herramientas que los ciberdelincuentes aprovechan, como el correo electrónico, aplicaciones de mensajería y dispositivos móviles. Tal y como indica INCIBE, su preparación es clave para mantener a raya a los impostores y garantizar la seguridad de tu negocio.
¿Has tenido algún intento de phishing en tu empresa relacionado con una licitación pública? Cuéntanoslo en comentarios a este Post del blog de www.litinet.com, podrás ayudar a evitar que otras empresas licitadoras puedan ser pescadas en estas estafas.

Abogados expertos en Contratación Pública

LitiNet. Abogados expertos en contratación pública.

Diana Gordo Cano
Directora General de LitiNet.com

«Aquellos que han presentado una oferta ante un órgano de contratación e injustamente no han resultado adjudicatarios, tienen en nosotros un aliado para reclamar con garantías, presentar su proposición en mejores condiciones y recibir asesoramiento en materia de contratación pública»

Créditos fotográficos:

Cada semana anotamos un contenido de interés sobre contratación pública: Recíbelo gratuitamente.

DÉJANOS TU EMAIL Y RECIBE INFORMACIÓN PUNTUAL SOBRE CONTRATACIÓN PÚBLICA

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Consultas
Hola: Haz aquí tu primera consulta gratuita