El Instituto Nacional de Ciberseguridad (INCIBE) alertó de una campaña de phishing que suplanta al servicio oficial “Mi Carpeta Ciudadana” del Gobierno de España. En ella se envían correos electrónicos falsos que informan de un supuesto ingreso de 552,97 euros, con el objetivo de obtener información personal y bancaria.
En los mensajes fraudulentos se comunica que “se ha generado un ingreso por importe de 552,97 €” y se insta a acceder a un enlace para verificar datos y recibir el pago. Sin embargo, el objetivo real de la campaña es obtener datos personales y bancarios de los usuarios que siguen el enlace incluido en el correo.
¿Cómo funciona el fraude?
Técnicas utilizadas
El engaño utiliza técnicas habituales de phishing para generar confianza en la víctima:
- El correo utiliza el logotipo oficial de Mi Carpeta Ciudadana y un diseño similar al de comunicaciones oficiales.
- Incluye lenguaje técnico y referencias legales, como números de expediente o menciones a normativa administrativa, para parecer legítimo.
- Utiliza un gancho económico, el supuesto ingreso de 552,97 €, para generar curiosidad y urgencia.
El enlace del mensaje redirige a una página web fraudulenta que imita la apariencia del portal oficial, donde se solicita al usuario completar un proceso de verificación.
Datos comprometidos
Durante ese proceso se piden datos como:
- Nombre y apellidos
- Fecha de nacimiento
- DNI o NIE
- Teléfono y correo electrónico
- Número de cuenta bancaria (IBAN)
En fases posteriores, incluso se puede solicitar la contraseña de acceso a la banca online, lo que permitiría a los atacantes cometer otros fraudes financieros.
Señales para identificar el engaño
Los expertos recomiendan prestar atención a ciertos detalles para detectar este tipo de fraudes.
Una de las señales más claras es el dominio del remitente. En esta campaña, el correo se envía desde direcciones como carpetaciudadana@info.com.es, mientras que las comunicaciones oficiales de la Administración española utilizan siempre dominios que terminan en “.gob.es”.
Además, los sistemas de notificaciones oficiales no solicitan responder directamente a correos ni introducir datos bancarios para recibir pagos, y las gestiones con organismos públicos suelen requerir identificación mediante Cl@ve, certificado digital o DNI electrónico.
¿Cómo actuar frente a este fraude?
Si se recibe el correo:
Si se recibe una notificación de este tipo, las recomendaciones son:
- No hacer clic en el enlace ni facilitar datos personales o bancarios.
- Bloquear al remitente y eliminar el mensaje.
- Reportar el correo a INCIBE para ayudar a identificar la campaña.
Si ya se introdujeron datos:
En caso de haber accedido al enlace y proporcionado información, es importante actuar rápidamente:
- Contactar inmediatamente con el banco para informar del posible fraude.
- Guardar evidencias del correo y de la página fraudulenta.
- Presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Revisar periódicamente si los datos personales han sido expuestos o utilizados sin consentimiento.
También se puede solicitar ayuda a través de este mismo portal o del teléfono 017 de INCIBE, el servicio gratuito de atención en ciberseguridad para ciudadanos.
Más información:
- Fuente: Incibe.es.
