Las Administraciones y organismos públicos están expuestos, igual que el resto de ciudadanos, a los ataques de ciberseguridad. El phising o el smishing son algunas de las técnicas utilizadas por los ciberdelincuentes para suplantar la identidad de estas instituciones y acceder los datos de la ciudadanía.

Estos ataques resultan difíciles de contabilizar, como apuntan los expertos consultados por EL ESPAÑOL-Invertia. No obstante, existen algunas cifras. El Instituto Nacional de Ciberseguridad de España (Incibe) gestionó 118.820 incidentes de ciberseguridad en 2022, un 9% más que en el año anterior, según consta en su Balance de Ciberseguridad 2022. 

De esos, más de 110.100 afectaron a ciudadanos y a empresas, 546 se dirigieron a operadores estratégicos, como organizaciones públicas o privadas responsables del funcionamiento de infraestructuras indispensables, y 7.980 a la Red Académica y de Investigación Española (RedIRIS). 

[España se posiciona como referente en ciberseguridad mientras las ciberamenazas "no tienen fondo"]

El Incibe, a través de sus redes sociales y de su sección de avisos, se encarga de anunciar la detección de estos ataques, su importancia y su solución. 

Los organismos públicos afectados por ataques suelen actuar de la misma forma para informar del problema a la ciudadanía.

Campañas de la Renta

A finales de septiembre, el Incibe detectó una campaña de smishing en la que, mediante SMS, se solicitaban imágenes del DNI y de una nómina reciente, suplantando la identidad de la Agencia Tributaria para solucionar una incidencia en la declaración de la renta. 

En ese caso, el mensaje, con errores ortográficos, alertaba de una sanción de más de 1.000 euros e incluía un enlace que redirigía a una web maliciosa, de apariencia similar a la de la Agencia Tributaria, para proporcionar los datos solicitados. 

[Así funciona el engaño de la falsa Agencia Tributaria que devuelve dinero de la declaración de la Renta]

Desde Incibe aconsejan bloquear y eliminar este tipo de mensajes. Si por el contrario el ciudadano ya ha accedido e, incluso, ha adjuntado su documentación, Incibe recomienda realizar capturas de pantalla y guardar todas las evidencias del posible fraude.

También insiste en reportar el fraude a Incibe y denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado, además de avisar al organismo al que se le está suplantando la identidad.

Fuentes de la Agencia Tributaria señalan a EL ESPAÑOL-Invertia que este tipo de ataques son más frecuentas en campañas concretas, como la de la renta, "por la cantidad de gente que en esa época utiliza estos servicios".

Del mismo modo, se detecta un aumento en los meses posteriores, cuando los contribuyentes están esperando la devolución.

[Un juez condena a un banco a devolver 5.800 euros a una víctima de 'phishing' y pide que se refuercen los controles]

El número de los ataques es, de nuevo, difícil de cuantificar "porque muchas veces un caso se replica con pequeños cambios de URL", agregan.

En su web, la Agencia Tributaria cuenta con información al respecto y un formulario para informar de estos posibles fraudes.

SEPE

El Servicio Público de Empleo Estatal (SEPE) tampoco escapa de estas ciberamenazadas. Este organismo también reporta cierta frecuencia en el envío de comunicaciones en la que se suplanta su identidad con el objetivo de engañar o robar información al destinatario. 

En el SEPE, recalcan que nunca pedirán datos personales o bancarios por SMS, correo electrónico o Whatsapp, y recomiendan a borrarlos en caso de recibirlos, así como no acceder a los enlaces ni descargar ficheros adjuntos. 

Si el receptor ha experimentado alguno de esos fraudes, recomiendan llamar al 017, el número de asesoramiento del Incibe. 

Además, en el Ministerio de Trabajo y Economía Social están reforzando "la formación en seguridad informática en general y el phising en particular, con recordatorios periódicos y acciones" en su intranet.

[Cuidado con este mensaje del SEPE: es una campaña de phishing para robar tus datos vía SMS y WhatsApp]

Entre sus actividades para prevenir estos fraudes también están los simulacros para evaluar cómo responden sus gestores ante estas situaciones y detectar eventuales debilidades, como explican desde Trabajo a este periódico.

El refuerzo no sólo se ha dado en la formación de su personal, sino también desde el punto de vista técnico, con un sistema de correo configurado con "mecanismos de autenticación que contrarrestan la suplantación de identidad del correo y el phising".

En Trabajo, también mandan un mensaje de tranquilidad hacia la ciudadanía. "Nuestro equipo de seguridad está pendiente de posibles casos relacionados con prestaciones por desempleo, formación para el empleo y otras gestiones relacionadas con nuestro ámbito, que también nos llegan mediante la atención presencial en las oficinas y por las redes sociales", comentan estas fuentes.

Ante posibles casos, siempre informan a través de las redes sociales, donde también recuerdan las pautas esenciales en las comunicaciones del SEPE. 

Seguridad Social

Otro organismo público en contacto con el ciudadano es la Seguridad Social, de la que dependen prestaciones como la pensión o el Ingreso Mínimo Vital (IMV)

En esta cartera, aseguran que tanto el phising como otros casos de fraudes "no son cosas habituales", aunque en el caso de detectarlos, "la Tesorería tiene una sección que trabaja conjuntamente con la Policía". 

En la Seguridad Social carecen de datos concretos sobre este tipo de ataques y, como el resto de organismos, recurren a las redes sociales para informar a la ciudadanía. 

No obstante, también se ha visto expuesta a este tipo de suplantaciones de identidad, en la que los atacantes buscan hacerse con los datos personales o bancarios de los beneficiarios. 

['Phising', 'vishing', 'smishing'... ¿Conoces los timos digitales que van a por tu dinero?]

Pese a la similitud de las páginas web fraudulentas con las de los organismos suplantados, los expertos dan algunas pistas que pueden ayudar a diferenciarlas, como el lenguaje utilizado, la presencia de faltas de ortografía, observar la atención del remitente o verificar los enlaces. 

En caso de duda, el usuario debe consultar siempre a la propia empresa o administración que supuestamente se ha puesto en contacto, así como verificar con la Policía Nacional o con la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (Incibe). El teléfono de atención es el 017 y está disponible de 9:00 a 21:00 todos los días de la semana.