Apreciadas y apreciados,
os enviamos esta comunicación para proporcionaros una información que nos parece de la máxima importancia, de cara a que extreméis las precauciones para evitar los riegos que provienen de los delitos cada vez más frecuentes de la suplantación de identidad.
Como sabéis, la suplantación de identidad o phishing es el delito de engañar a alguien haciéndose pasar por una institución de confianza para que comparta información confidencial contigo, para a continuación hacer un uso fraudulento de esa información.
Quizá sabéis por experiencia personal o de personas cercanas a vosotros cómo se llevan a cabo estos intentos de fraude.
Uno de los intentos más comunes dentro de nuestra actividad toma la forma que os explicamos a continuación.
Una empresa que es adjudicataria de un contrato, normalmente de un contrato mayor publicado en la Plataforma de Contratación del Estado, recibe un correo que aparenta ser de un técnico/a del IVC, con nombre y apellidos (una persona que de verdad trabaja en el IVC), o de un auditor/a de la administración.
En ese correo te piden que envíes la factura que vas a presentar a través de Face por el servicio que has prestado, y que la envíes exclusivamente a ese correo en cuestión, y con un formato concreto.
El correo llevará un pie de firma que puede ser de una persona real del IVC e imita una conversación que se podría tener con esa persona, o con una persona de la administración que va a “auditar” y comprobar dicha factura antes de que se suba a Face.
Pero ese correo no se habrá enviado desde el IVC, hecho fácilmente constatable por la terminación del correo, que NO SERÁ la propia y única del dominio del IVC: @IVC.GVA.ES.
Utilizan dominios inventados, diferentes, que contienen algunas piezas de los auténticos, para así hacerlos parecer válidos e institucionales.
La persona a quien se ha usurpado la identidad en el IVC no tiene la menor idea de lo que está sucediendo a sus espaldas.
Si la empresa a la que se han dirigido no detecta la falsedad de esta comunicación y le envía la factura, el fraude puede consumarse de la siguiente manera: quien recibe la factura la modifica, cambiando el número de cuenta de pago. Entonces la devuelve al adjudicatario, que puede no darse cuenta del hackeo sufrido y que la sube a Face CON EL NÚMERO DE CUENTA CAMBIADO.
Cuando la factura se paga (la factura que ha sido subida en regla a Face vía identificación digital por el adjudicatario y que por tanto es conforme), los delincuentes reciben el dinero en su cuenta y el fraude se consuma.
La reversión de una situación así es sumamente problemática y el perjuicio que se produce al adjudicatario es gravísimo.
Dicha reversión queda en manos de que la Brigada de Investigación Tecnológica, que investiga los ciberdelitos, pueda resolver el caso.
· ¿Qué se debe comprobar en cualquier correo que se reciba referente a un contrato adjudicado?
- El nombre de dominio desde el que envían el correo. Nuestro dominio es @ivc.gva.es. Cualquier otro dominio, aunque sea una combinación de partes de éste con otras letras, es FALSO. El último intento de phishing que hemos recibido venía desde @gva.life, y el nombre del remitente era Contrataciones públicas.
- Desde Contratación NUNCA os vamos a pedir que nos enviéis vuestra factura en otro formato a un correo ni os vamos a pedir comprobar con anterioridad la factura. Si cuando llega a Face la factura es incorrecta por alguna razón, se rechaza y se vuelve a presentar.
- NUNCA atendáis llamadas ni proporcionéis información del contrato a números que no sean los de Contratación del IVC, que son:
Marcial Díaz: 961 20 65 50 – Jerahy García: 961 20 65 58 – Amparo Antonino: 961 20 65 06 – Lorena Tordera: 961 83 25 74 – Belén Marco: 964 37 93 09 - Si recibís un correo sospechoso, o un correo en el que os piden cualquier cosa relacionada con una factura, llamad inmediatamente al técnico/a del IVC responsable de vuestra adjudicación a su teléfono corporativo, sin hacer NADA de lo que os indica el correo.
Dada la gravedad de la situación que puede producirse, quisiéramos pediros que pongáis todo vuestro interés y cuidado en la detección, prevención y aborto de los intentos de fraude que todos pudiéramos sufrir.
