EstafaCompteBancari.png

Intentos de estafa por suplantación de la cuenta bancaria

Qué ha pasado?

Recientemente, hemos detectado un tipo de estafa sofisticada, dirigida a nuestros servicios de contratación. Los atacantes han conseguido información de contratos en vigor desde la Plataforma de Contratación, y, posteriormente, han enviado correos electrónicos donde solicitaban cambiar el número de cuenta bancario donde efectuar los pagos al proveedor del contrato. Los servicios de contratación que no se han dado cuenta que el correo no era legítimo han respondido informando de un procedimiento incorrecto y de la documentación que había que aportar para proceder a efectuar este cambio, con un certificado de titularidad de la cuenta bancaria. El atacante, entonces, ha respondido enviando un certificado de titularidad falsificado con una firma electrónica no válida.

Cómo uso podéis defender de este tipos de ataques?

Detectar este tipo de ataques es relativamente sencillo, si se siguen este reglas:

  • Utilizáis los procedimientos previstos para nuestra comunidad autónoma, para el alta, baja o modificación de cuentas bancarias y que podéis consulta a la siguiente dirección electrónica:
  • Seguís las pasas que se detallan en el apartado siguiente.
  • El correo electrónico no se un mecanismo válido para realizar un trámite como el de la modificación de los datos personales o bancarias de un tercer acreedor. La malentendida agilidad administrativa no puede comprometer la integridad de los capitales públicos.
  • Recordáis que las personas personas jurídicas o cualquiera de las personas a las que hace referencia el artículo 14.2 de la Ley 39/2015 se tienen que relacionar electrónicamente con la administración pública y, por lo tanto, se tienen que utilizar los mecanismos que permitan su auténtica identificación.
  • Verificáis el origen. Habitualmente esos ataques os llegarán por correo electrónico, y serán mensajes que nuestros sistemas de seguridad perimetral no hayan detectado como maliciosos, dado que no incluirán ningún adjunto ni enlace que pueda suponer una amenaza, y los dominios usados para enviarlos tendrán una madurez suficiente para que los sistemas antispam no sospechen nada. En ese caso concreto, los correos llegaron desde dominios como plataforma-financiera.com o unidadfinanciera.com, que, como podréis ver, no tienen nada que ver con el dominio o el nombre del proveedor .
  • Dudáis del contenido. La información que contengan esos correos no es fiable de ninguna forma. No intentáis usar el teléfono que figure al correo para verificar la legitimidad de la petición, porque, probablemente, el número de teléfono será control·lat por el atacante. Usáis siempre la información de contactos oficial del contrato que tengáis con vuestro proveedor .
  • Verificáis las firmas electrónicas. El hecho que un documento se haya firmado electrónicamente no garantiza su legitimidad. Si no veis claramente que la firma del documento sea correcta, y que el certificado se corresponda con la entidad bancaria auténtica, utilizáis Valido. En el caso concreto que nos ocupa, Valido informa que:

Valide.png

Procedimiento correcto

Así mismo os recordamos el procedimiento a aplicar para la modificación de los datos bancaries de cualquier tercer acreedor que, en ningún caso, se puede aceptar por correo electrónico:

PERSONAS JURÍDICAS:

1. Hay que descargar el modelo de declaración de veracidad de datos bancarios. Lo podéis encontrar en la sede electrónica del Gobierno con el código SIA 2401053. Os adjuntamos el enlace correspondiente para facilitar al proveedor y el modelo a presentar:

Trámite

Modelo de declaración de veracidad de datos bancarios

Se recomienda informar al tercer acreedor de los datos a completar en el trámite como se detalla en el punto 4.

2. El documento tiene que venir obligatoriamente firmado electrónicamente, por la persona representando de la empresa debidamente acreditada ante la Administración para lo procedimiento en cuestión. La firma tiene que estar reconocida por certificadores del Estado español.

3. El documento se tiene que grabar de manera telemática por medio del Registro electrónico de la CAIB . Preferiblemente se utilizará el siguiente enlace:

https://www.caib.es/seucaib/es/tramites/tramite/4213695/

4.  Los pasos a seguir por el tercero acreedor son los siguientes:

• En el Registro Electrónico General marcar el ítem de “instancia genérica”, puesto que de momento no existe procedimiento telemático para lo caso. El mecanismo será mediante certificado electrónico, DNI-e o estar dado de alta en Cl@ve Permanente.
• Ir a “Trámites: Presentación de solicitud genérica (en ausencia de procedimiento o servicio publicado en la Sede electrónica)”. Una vez dentro de dirigirse al botón “Acceso al trámite telemático” e identificarse por la vía seleccionada.
• Ahora se encuentra dentro del trámite y tiene que marcar “Siguiente” y seguidamente entrar en “Formulario de instancia genérica”.
• En el Apartado Consellería, tiene que marcar la consellería competente y en “Destino” el siguiente el centro o ente gestor responsable del procedimiento administrativo.
• El código de identificación correspondiente al órgano lo podéis encontrar a https://www.caib.es/sites/atenciociutadania/ca/cadigo_dir3/. Si no el sabeo, podéis buscarlo en la página web de atención a la ciudadanía de Gobierno de las Islas Baleares o pedirlo a las oficinas del Registro (https://www.caib.es/sites/atenciociutadania/ca/atencia_presencial_/).
• Rellenar el formulario. Una vez finalizado tienen que marcar “siguiente”.
• El trámite nos trae a “Anexar documentos”, introduciremos un título para el anexo y procedemos a subir los ficheros que se nos soliciten. Una vez subidos los documentos marcaremos “Siguiente”.
• El siguiente apartado es “Registrar el trámite”, tendrá que revisar el resumen de los pasos rellenados. Firmar la instancia y finalizar el trámite.
• Hay que recordar que los documentos la lengua originaria de los cuales no sea una de las oficiales del territorio, tendrán que presentarse traducidos en un idioma oficial del Estado y apostillado con Apostilla de La Haya.
• En caso de dudas sobre la eAdministración pueden dirigirse a aelectronica@caib.es o telefonear a lo 012.

PERSONAS FÍSICAS:

Las personas físicas podrán elegir en todo momento si se comunican con la Administración para ejercer sus derechos y obligaciones a través de medios electrónicos o no. Se recomienda que usen los medios electrónicos y la firma digital para su seguridad.

En la siguiente página web podréis encontrar información más detallada sobre esos trámites:

https://www.caib.es/webgoib/w/mant%C3%A9n-actualizadas-los-tuyos-datos-banco%C3%A0ries.-qu%C3%A9-se-sepa-

Información adicional

Probablemente, los atacantes han obtenido la información desde la Plataforma de Contratación, como por ejemplo:

Captura_de_pantalla_2025-09-08_125910.png

Una vez los atacantes han obtenido los datos de contratación, se encuentran en disposición de intentar hacer el cambio de la cuenta corriendo donde se efectúan los pagos a los proveedores de los contratos. Cuando reciben el correo donde se los informa del procedimiento y la documentación que hay que aportar para efectuar el cambio de cuenta corriente, despliegan una Autoridad de Certificación propia y emiten un certificado falso a nombre de una entidad bancaria, que usarán para firmar un certificado de titularidad de la cuenta bancaria falsa.

Validación de la firma electrónica

Aunque los documentos estén firmados, no significa que la firma o firma sea válida, es obligatorio verificar la validez.

Una de las mejores maneras de verificarlo es utilizando la herramienta de VALIDE de la red SARA

Valido

Allá permite subir el documento PDF y ferà un análisis de la firma electrónica, de los certificados y de las entidades de confianza para verificar si realmente estamos hablando de una firma valida o no.

Adicionalmente, adjuntamos imágenes donde se puede ver la carencia de confianza de una firma falsificada en un visor Adobe de un documento PDF firmado electrónicamente.

Validate.png

Podemos ver también el detalle de la validación de la firma:

Validate_1.png

y veremos los detalles del porque no se considera una firma legítima de confianza:

Trusted_1.png

Observáis un certificado no legítimo:

Certificat_fals.png

En ese caso concreto, es evidente que el certificado no es válido, dado que está autosignat, como se indica al pie de la ventana de información, y, por otro lado, tanto el sujeto certificado como la entidad certificadora son lo mismo sujeto.

Si se firma un documento con un certificado de ese tipo, al panel de firmas del lector de PDF que se emplee para leerlo tendría que aparecer un mensaje de problemas con la firma, dado que un certificado que no se haya firmado por una Autoridad de Certificación reconocida no podrá ser verificado correctamente:

Validate.png

También os tendría que hacer sospechar el hecho que no hay ningún mecanismo de verificación de la autenticidad del documento, como un código CSV o un enlace donde autenticar el documento, y, finalmente, que la información que figura al pie del sujeto firmando no se corresponde con la información del certificado que habéis visto.

En cambio, observáis el certificado legítimo que usa el Banco Bilbao Vizcaya para autenticar la legitimidad de su sitio web. El emisor del certificado es una Autoridad de Certificación reconocida.

Certificat_BBVA.png