Desde hace unos meses, la Plataforma de Contratación del Sector Público (PLACSP) está alertando de un nuevo fraude dirigido a empresas adjudicatarias de contratos en fase de formalización a las que ciberdelincuentes que suplantan la identidad de la propia plataforma o de entidades adjudicadoras requieren vía correo electrónico el depósito en una cuenta bancaria de la garantía definitiva del contrato. Esta forma de “phising” puede suponer a la empresa pérdidas de muchos miles de euros dado que el importe de la garantía definitiva suele ascender a un 5% del contrato y, en casos especiales, hasta un 10%.
La alerta saltó en el Ministerio de Hacienda el pasado mes de noviembre, cuando se detectaron tres intentos de fraude relacionados con el pago de garantías de contratos. “Informamos a la empresas –explica uno de los varios “avisos importantes” que ha publicado la propia plataforma en su página web- que la Plataforma de Contratación del Sector Público (PLACSP), siempre que envía avisos a sus usuarios, lo hace desde cuentas de correo electrónicos con el dominio vinculado al Ministerio de Hacienda -en la actualidad, hacienda.gob.es-. También, queremos recordar que la PLACSP no realiza requerimientos a licitadores en nombre propio, más aún si tienen naturaleza económica”.
Últimamente, los “estafadores de garantías” están sofisticando sus métodos para hacerlos más creíbles y suplantan la identidad de entidades y personas de los órganos contratadores. “Desde hace varias semanas –explica otra alerta de la PLACSP, ésta de finales de enero- los candidatos y licitadores de los contratos públicos reciben correos electrónicos fraudulentos en los que se suplanta, bien la identidad de la Plataforma de Contratación del Sector público, bien la del Responsable del Órgano de Contratación, con objeto de que la empresa adjudicataria ingrese la garantía definitiva en una cuenta corriente o emita la correspondiente factura y la envíe al ROC para ser objeto de revisión”.
Es el caso de un contrato del Ayuntamiento de Alicante para el derribo de un edificio ruinoso situado en el barrio de Nou Alcolecha por un importe de 302.000 euros. Según hizo público el propio ayuntamiento el pasado 13 de enero, la ganadora inicial del concurso recibió un mensaje de correo electrónico, aparentemente, enviado desde el Área de Contratación, en el que se le emplazaba a depositar 7.353 euros como garantía del contrato en una cuenta bancaria de titularidad supuestamente municipal que, en realidad, no tenía nada que ver con la corporación alicantina. Para hacer creíble la petición, el correo venía acompañado con el formulario habitual de comunicación de la condición de adjudicatario y de la firma suplantada de la jefa del Servicio.
La empresa hizo efectivo ese depósito y remitió el comprobante de ingreso al Ayuntamiento, lo que, según fuentes municipales, fue lo que hizo saltar todas las alarmas, ya que ese no es el procedimiento habitual que se sigue para efectuar el abono de garantías.
Los requerimientos de garantías fraudulentos se estarían produciendo, incluso, entre empresas que no han quedado primeras en una licitación, pero creen que, con este mecanismo, el órgano adjudicador o la plataforma de contratación les está informando de que son los adjudicatarios finales por defectos en la oferta inicialmente ganadora.
Patrimonio del Estado emprende acciones legales
La Dirección General del Patrimonio del Estado está analizando ahora los correos y ha emprendido las acciones legales correspondientes. Además, ha pedido a diferentes organismos públicos que informen a sus adjudicatarios sobre este hecho y les comuniquen los pasos que deben realizarse para depositar la garantía definitiva. Y, si se ha realizado algún ingreso a la red ciberdelictiva, se pide igualmente que, además del correo fraudulento, se adjunte el justificante oportuno a la dirección contrataciondelestado@hacienda.gob.es para poder incorporarlo a la denuncia que interponga Patrimonio del Estado.
La última casuística de la que tiene constancia la Plataforma de Contratación Pública es el envío de correos supuestamente enviados por este organismo del Ministerio de Hacienda en el que se informa a empresas licitadoras de cómo desbloquear su cuenta en la propia PLACSP con la finalidad de que sus víctimas pulsen un enlace con alto riesgo de estar instalando un programa espía. La PLACSP recuerda a las empresas licitadoras que este organismo del Ministerio de Hacienda sólo envía mensajes a operadores económicos desde cuentas de correo con dominio “hacienda.gob.es” y pide a quien haya recibido un correo delictivo de este tipo que no realice ninguna de las acciones que le soliciten y que, en todo caso, reenvíe el mensaje como adjunto a la dirección “licitacionE@hacienda.gob.es”.
Para más información de la PLACSP sobre este fraude, puede acceder al siguiente documento
Feb. 23, 2021 / Andrés Correa