eldiario.es
Boletines
¿No encuentras algo?
Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.
Tu economía

Nueva campaña de 'pishing' que busca estafar a través de Mi Carpeta Ciudadana: así funciona y cómo evitarla

El texto de la estafa invita a responder directamente al correo electrónico en caso de duda, algo que los sistemas oficiales nunca harían
El texto de la estafa invita a responder directamente al correo electrónico en caso de duda, algo que los sistemas oficiales nunca harían INCIBE

Alberto Gómez

0

Una nueva campaña de ciberestafa ha puesto en alerta a las autoridades españolas tras detectarse una suplantación masiva de Mi Carpeta Ciudadana, el portal administrativo oficial. El Instituto Nacional de Ciberseguridad (INCIBE) y la Guardia Civil han denunciado este fraude, que utiliza un reclamo económico muy tentador para engañar a miles de usuarios: los estafadores envían correos electrónicos que notifican un supuesto ingreso de 552,97 euros a favor del ciudadano, generando una sensación de urgencia y curiosidad inmediata en el receptor. Este gancho emocional está diseñado específicamente para que la víctima actúe de forma impulsiva y pinche en el enlace de acceso sin verificar la veracidad del mensaje.

El objetivo final de los profesionales de la ciberdelincuencia es obtener información personal y bancaria altamente sensible de ciudadanos que creen estar gestionando un trámite legítimo. La importancia de esta alerta es alta, debido a la sofisticación del engaño y al uso de logotipos oficiales que confunden a la población. Y es que Mi Carpeta Ciudadana es el espacio digital del Gobierno que permite a los ciudadanos consultar sus datos y realizar trámites administrativos en un único lugar de forma cómoda. Debido a la gran utilidad de este servicio, que evita desplazamientos físicos a las oficinas públicas, los atacantes han visto una oportunidad para camuflar sus peligrosos engaños. 

El portal oficial facilita la gestión de expedientes, citas previas y notificaciones de diversas administraciones, lo que otorga una apariencia de seriedad a cualquier mensaje recibido. Los estafadores se aprovechan de esta confianza institucional para lanzar ataques de tipo ‘phishing’ de forma indiscriminada a una enorme cantidad de correos electrónicos. Resulta fundamental comprender que este servicio administrativo nunca enviará comunicaciones solicitando datos bancarios privados a través de un simple mensaje de correo electrónico. La seguridad de la administración pública se basa en sistemas de identificación mucho más robustos y protegidos que un simple enlace directo.

El diseño del mensaje fraudulento es sumamente engañoso, ya que incluye el logotipo oficial de Mi Carpeta Ciudadana para proyectar una imagen de autenticidad y confianza absoluta. Además, los delincuentes utilizan un lenguaje técnico y legal, mencionando leyes como la 39/2015 y referencias de expedientes ficticios para intimidar a la posible víctima. El asunto del correo suele ser “Notificación de ingreso disponible”, un mensaje directo que busca la interacción inmediata del usuario antes de analizar los detalles. Otra señal sospechosa es que el texto invita a responder directamente al correo electrónico en caso de duda, algo que los sistemas oficiales nunca harían. Las notificaciones administrativas reales son unidireccionales y se gestionan exclusivamente a través de las sedes electrónicas oficiales tras una identificación de seguridad. 

El Instituto Nacional de Ciberseguridad ofrece asesoramiento personalizado para confirmar si un mensaje es legítimo o si forma parte de una campaña de ‘phishing’ activa
El Instituto Nacional de Ciberseguridad ofrece asesoramiento personalizado para confirmar si un mensaje es legítimo o si forma parte de una campaña de ‘phishing’ activa INCIBE

Para identificar este fraude, el primer paso esencial es fijarse detenidamente en la dirección de correo electrónico del remitente, que suele ser la señal más reveladora. En este caso concreto, el correo proviene del dominio “info.com.es”, mientras que la Administración General del Estado siempre utiliza dominios terminados en “.gob.es”. Cualquier comunicación administrativa que llegue desde extensiones como .com, .net o .info debe ser tratada automáticamente como una amenaza potencial de ciberseguridad. Los expertos recomiendan pasar el ratón por encima de los enlaces sin pulsar para ver la dirección URL real a la que pretenden redirigir al usuario. Si la página de destino no comienza exactamente por la dirección oficial “micarpetaciudadana.gob.es”, se trata inequívocamente de un sitio web malicioso controlado por criminales. 

Cuando una persona pulsa en el botón de “Acceder ahora”, es redirigida a una página web que imita a la perfección el diseño del portal gubernamental para engañar. En este sitio falso, se le solicita al usuario que inicie un proceso de supuesta verificación y reidentificación para poder recibir el ingreso económico prometido. El formulario exige la introducción de datos personales críticos como el nombre completo, apellidos, fecha de nacimiento, número de teléfono y el número del DNI. Es en este momento cuando la víctima comienza a entregar las llaves de su identidad digital a los atacantes, primer paso de una estafa que busca posteriormente acceder a las cuentas bancarias.

Tras capturar la información personal, la web fraudulenta solicita al usuario que introduzca su número de cuenta bancaria o IBAN para efectuar el supuesto ingreso de dinero. Inmediatamente después, aparece una pasarela de pago ficticia que pide la contraseña de acceso a la banca electrónica del usuario bajo un falso pretexto de seguridad. Es vital recordar que ningún organismo público solicitará jamás una contraseña de acceso bancario a través de un enlace enviado por un correo electrónico. Una vez que el usuario facilita estas credenciales, los ciberdelincuentes obtienen el control total para realizar transferencias o contrataciones no autorizadas en su nombre. 

La mejor forma de evitar caer en estas trampas es recordar que para cualquier gestión oficial se requiere obligatoriamente el uso del sistema Cl@ve o certificado digital. Si al acceder a una supuesta web de la administración no se solicita uno de estos métodos de identificación oficial, es una señal inequívoca de un posible fraude. Nunca se deben seguir enlaces contenidos en mensajes sospechosos, especialmente aquellos que prometen inesperados ingresos de dinero. Si ya se han facilitado datos personales o bancarios en la web falsa, es imperativo actuar con la máxima celeridad para minimizar los posibles daños económicos futuros. 

Obtener pruebas y denunciar

El primer paso debe ser contactar inmediatamente con la entidad bancaria para bloquear las cuentas, tarjetas y cambiar las claves de acceso a la banca digital. Es fundamental guardar todas las evidencias posibles del fraude, como capturas de pantalla del correo y de la web maliciosa. Con estas pruebas, se debe acudir a una comisaría de la Policía Nacional o de la Guardia Civil para interponer la denuncia correspondiente lo antes posible. También se recomienda cambiar las contraseñas de otros servicios digitales. La rapidez en la respuesta es determinante para que el banco pueda intentar recuperar los fondos y para proteger la identidad.

Para una protección a largo plazo, las autoridades recomiendan realizar prácticas de “egosurfing” periódicamente para detectar si nuestros datos personales han sido filtrados en internet. Existen herramientas y buscadores especializados que notifican si una dirección de correo o un número de teléfono aparecen en bases de datos de ciberataques previos. Ante cualquier duda sobre la veracidad de una comunicación oficial, los ciudadanos tienen a su disposición el número gratuito 017 de Ayuda en Ciberseguridad. Este servicio del INCIBE ofrece asesoramiento personalizado para confirmar si un mensaje es legítimo o si forma parte de una campaña de ‘phishing’ activa. 

Etiquetas
Logo elDiario.es

Periodismo a pesar de todo

Descubre nuestras apps

Necesitamos tu apoyo económico para hacer un periodismo riguroso y con valores sociales

HAZTE SOCIO, HAZTE SOCIA
stats