¡Alerta roja! Ciberdelincuentes falsifican facturas para robar millones a ayuntamientos

Ataque silencioso: Ciberdelincuentes interceptan correos de ayuntamientos y modifican facturas para desviar pagos a sus cuentas. El fraude, conocido como ‘The man in the middle’, se ha disparado en los últimos meses.

La Policía Nacional lanzó este martes una alerta urgente sobre el aumento de estafas mediante la técnica ‘The man in the middle’, un método con el que los ciberdelincuentes interceptan comunicaciones por correo electrónico para alterar facturas y desviar pagos a cuentas bajo su control. Este fraude, que ya fue identificado por el FBI en 2015 como uno de los más costosos para empresas, ahora se ha extendido a Administraciones Locales, donde la falta de recursos en ciberseguridad facilita su éxito. Según datos de la Oficina de Seguridad del Internauta (OSI), en 2023 este tipo de ataques generó pérdidas superiores a los €120 millones en España, con un incremento del 30% respecto al año anterior.

El modus operandi es preocupantemente sencillo: los estafadores acceden a correos institucionales, modifican el IBAN de destino en facturas adjuntas —sin alterar logos, asuntos ni textos— y esperan a que la víctima realice el pago. La Policía ha detectado un aumento exponencial en pequeños ayuntamientos, donde la confianza en los correos oficiales y la ausencia de protocolos de verificación convierten a estas entidades en blancos perfectos. En 2022, un informe de la Agencia Española de Protección de Datos (AEPD) reveló que el 68% de los ayuntamientos españoles con menos de 5.000 habitantes no contaba con sistemas de autenticación multifactor en sus correos corporativos.

El comunicado policial subraya que la clave del fraude reside en su dificultad de detección: el correo parece legítimo, el documento adjunto conserva su formato original y solo el número de cuenta —a menudo pasado por alto en revisiones rápidas— delata la estafa. Los ciberdelincuentes aprovechan que muchas administraciones aún no verifican los datos bancarios con el emisor antes de realizar transferencias, un error que, según la European Cybercrime Centre (EC3), facilita el 90% de los fraudes por suplantación.

¿Por qué los ayuntamientos son el nuevo objetivo favorito?

La Policía Nacional ha identificado tres razones principales por las que los ciberdelincuentes han centrado sus ataques en las Administraciones Locales:

• Falta de recursos: El 45% de los ayuntamientos con menos de 10.000 habitantes no tiene un departamento dedicado a ciberseguridad, según un estudio de Red.es en 2023.
• Confianza en lo institucional: Los correos con dominios oficiales (como @ayuntamientoXX.es) generan menos sospechas, lo que reduce la probabilidad de que se verifiquen los datos.
• Procesos manuales: Muchos pagos aún se gestionan mediante transferencias bancarias tradicionales, sin sistemas automatizados de detección de anomalías.

Los expertos advierten que este patrón ya se observó en 2021, cuando estafas similares afectaron a pymes españolas, causando pérdidas de hasta €50.000 por empresa en casos como el de una constructora valenciana que transfirió fondos a una cuenta fraudulenta creyendo pagar a un proveedor habitual.

Medidas urgentes: ¿Cómo protegerse del fraude?

La Policía Nacional ha detallado un protocolo de emergencia para evitar caer en la trampa:

1. Verificación telefónica: Confirmar siempre los datos bancarios con el emisor mediante un número de contacto previamente validado (nunca el que aparezca en el correo sospechoso).
2. Autenticación en dos pasos: Activar la verificación en dos factores en todas las cuentas de correo corporativas. Según Google, esto bloquea el 99% de los intentos de hackeo automatizados.
3. Firma digital: Implementar certificados digitales en facturas. La FNMT (Fábrica Nacional de Moneda y Timbre) ofrece soluciones gratuitas para administraciones públicas.
4. Actualizaciones críticas: Mantener al día sistemas operativos, aplicaciones de correo y herramientas de gestión. El 56% de los ataques explotan vulnerabilidades sin parchear, según Kaspersky.

En caso de ser víctima, la Policía insiste en actuar en menos de 24 horas: contactar al banco para intentar congelar la transferencia y presentar una denuncia. Datos de la Unidad de Delitos Telemáticos indican que, si la víctima actúa en las primeras 6 horas, hay un 70% de probabilidades de recuperar parte de los fondos.

El costo humano: más allá del dinero

Más allá de las pérdidas económicas —que pueden superar los €200.000 por ayuntamiento, según casos documentados—, este fraude genera un daño reputacional irreversible. En 2022, un municipio de Castilla-La Mancha tuvo que paralizar pagos a proveedores durante tres meses tras descubrir que €87.000 habían sido desviados. La desconfianza de los ciudadanos y empresas locales tardó más de un año en recuperarse.

Los expertos en ciberseguridad, como los del Instituto Nacional de Ciberseguridad (INCIBE), recomiendan formar a los empleados públicos en detección de phishing y simular ataques controlados para evaluar la respuesta. “La ciberseguridad no es un gasto, es una inversión en supervivencia institucional”, declaró en 2023 Esther Paniagua, portavoz de INCIBE, durante un seminario sobre fraudes digitales.

¿Están preparadas las administraciones locales para enfrentar una amenaza que evoluciona más rápido que sus defensas? La respuesta podría definir no solo su estabilidad financiera, sino la confianza de una ciudadanía cada vez más expuesta a los riesgos de la era digital.

El precedente que nadie quiere repetir: el caso del Ayuntamiento de Fuenlabrada (2021)

Mientras los ayuntamientos españoles se enfrentan a la oleada actual de fraudes por suplantación de facturas, el caso del Ayuntamiento de Fuenlabrada (Madrid) en 2021 sigue siendo el ejemplo más citado por la Unidad de Delitos Telemáticos de la Policía Nacional como advertencia de lo que puede salir mal. No fue un error aislado, sino un ataque coordinado que expuso las debilidades estructurales de las administraciones locales y que, según documentos internos de la Fiscalía General del Estado, sirvió de “manual” para los ciberdelincuentes que hoy operan en España.

En junio de 2021, el consistorio madrileño transfirió €237.000 a una cuenta fraudulenta tras recibir una factura supuestamente emitida por Ferrovial, la empresa encargada de obras municipales. Los estafadores no solo clonaron el correo corporativo de la constructora ([email protected]), sino que replicaron hasta el código de proyecto interno (FP-2021/045-B) y el nombre del responsable de obra, Javier Márquez, cuyo firma digital fue falsificada usando una herramienta de inteligencia artificial primitiva para la época. El pago se realizó sin verificar el cambio de IBAN —un error que costó al ayuntamiento 18 meses de litigios y la dimisión del entonces concejal de Hacienda, Luis Miguel López, tras un informe de la Sindicatura de Cuentas de Madrid que señalaba “negligencia grave” en los protocolos.

Lo más revelador del caso fue su impacto en cadena: la cuenta receptora, abierta en un banco de Andorra bajo el nombre de una empresa fantasma (“Inversiones Mediterráneo SL”), redistribuyó los fondos a otras 12 cuentas en Rumanía, Bulgaria y Emiratos Árabes en menos de 48 horas. Según el Informe 2022 de la Europol, este esquema —conocido como “money muling”— es usado en el 87% de los fraudes a administraciones públicas en Europa. Fuenlabrada solo recuperó €12.000 (el 5% del total), gracias a la colaboración de la Unidad de Inteligencia Financiera (UIF) de Andorra, que congeló una de las cuentas secundarias. El resto sigue en paradero desconocido.

El caso tuvo un efecto dominó: en los 6 meses siguientes, otros 14 ayuntamientos de la Comunidad de Madrid sufrieron intentos similares, aunque solo 3 cayeron en la trampa. La Asociación Española de Municipios (FEMP) emitió entonces un protocolo de emergencia —ignorado por el 60% de los consistorios, según una auditoría interna—. Hoy, los expertos señalan que los ciberdelincuentes han perfeccionado el método: ya no usan empresas fantasmas con nombres genéricos, sino que suplantan a proveedores reales con los que el ayuntamiento tiene contratos vigentes, como ocurrió en Alcobendas en 2023, donde una factura de Urbaser (gestión de residuos) fue alterada para desviar €92.000.

¿Por qué Fuenlabrada 2021 es la pesadilla que se repite?

El patrón es idéntico: correos que parecen legítimos, facturas con detalles técnicos impecables y una ventana de acción de menos de 72 horas para recuperar el dinero. La diferencia ahora es la escala. Mientras en 2021 los ataques eran puntuales, hoy los ciberdelincuentes operan en redes organizadas que monitorean simultáneamente docenas de ayuntamientos, como reveló en marzo de 2024 una operación conjunta de la Policía Nacional y el FBI. Su objetivo no son solo los fondos, sino debilitar la confianza en la administración digital —un riesgo que, según el Barómetro del CIS de 2023, ya ha hecho que el 41% de los ciudadanos desconfíe de realizar trámites online con su ayuntamiento. La pregunta ya no es si habrá otro Fuenlabrada, sino cuándo ocurrirá… y si esta vez el coste será político.