Cultura denuncia casos de phishing en la plataforma de contratación del Estado para robar datos a las empresas licitadoras

El phishing consiste en el robo de credenciales, datos personales o acceso a cuentas por parte de usuarios maliciosos. Es habitual que estos usuarios se hagan pasar por grandes compañías que ofrecen regalos o promociones. Pero esta vez es a la administración del Estado a quien han suplantado la identidad bajo el objetivo de hacer phishing a empresas a través de la plataforma de contratación pública. 

En concreto, en el Ministerio de Cultura y Deporte se han detectado estas irregularidades. Los mensajes de aviso aparecen en múltiples licitaciones, desde la Junta de Contratación del Ministerio, hasta de unidades que dependen de la cartera como la Dirección General del Instituto de Cinematografía y de las Artes Audiovisuales. 

Así es el intento de phishing en la plataforma de contratación

El Ministerio de Cultura informa en el portal que desde hace semanas los candidatos a varios contratos públicos han recibido “correos electrónicos fraudulentos”. Se suplanta tanto la identidad de la Plataforma de Contratación del Sector público (PLACSP) como la propia organización contratante, es decir, a las suboficinas de la cartera. 

En el mensaje fraudulento se insta a las empresas adjudicatarias que ingresen la “garantía definitiva” o que emita la factura y la remita para ser “objeto de revisión”. El phishing también suplanta la identidad de la plataforma de contratación a través de un supuesto mensaje para la reactivación de la cuenta de usuario para que pulsen en un enlace. 

El documento de advertencia, publicado por la subdirección general de gestión Económica y Asuntos Generales de la subsecretaría de Cultura y Deporte, establece los correos electrónicos oficiales desde los que se envían informaciones a los licitadores y solicita a las empresas que se comuniquen al Ministerio de Hacienda cualquier mensaje recibido desde una dirección diferente.

Aviso publicado en la Plataforma de Contratación del Sector Público

El mensaje de 2023 para suplantar la identidad de la Agencia Tributaria

El Ministerio de Hacienda también ha publicado este 27 de enero en la web de la Agencia Tributaria algunos ejemplos del envío de correos electrónicos de phishing y que ya han detectado este 2023.

Ejemplo SMS de phishing en 2023 que suplanta a la Agencia Tributaria. Foto: Ministerio de Hacienda.

Uno de los mensajes es sobre un reembolso de impuestos a través de un SMS que lleva a una página falsa del organismo en la que piden los datos de la tarjeta de crédito. El otro es un aviso de notificación de la Agencia Tributaria.