La suplantación de organismos oficiales sigue siendo una de las tácticas más eficaces dentro del ecosistema del cibercrimen. La última campaña detectada eleva este patrón a un nuevo nivel de sofisticación: correos electrónicos que simulan proceder de la Dirección General de la Guardia Civil y de Europol, acompañados de un documento PDF que recrea una supuesta investigación por ciberdelitos.

El mensaje, que llega bajo el asunto genérico de “CONVOCATORIA” o variantes similares, busca activar la curiosidad del usuario sin revelar inicialmente su contenido alarmista. Sin embargo, tras abrir el correo y revisar el archivo adjunto —denominado “NOTIFICACION_EXP_217-124 (1).pdf”—, la estrategia cambia radicalmente: el objetivo pasa a ser generar miedo, urgencia y una sensación de amenaza legal inminente.

Ingeniería social con apariencia institucional

Este fraude no se apoya en vulnerabilidades técnicas, sino en una ejecución avanzada de ingeniería social. Los ciberdelincuentes construyen una narrativa en la que la víctima supuestamente está implicada en delitos informáticos a escala internacional, lo que provoca un fuerte impacto psicológico.

El correo utiliza múltiples elementos diseñados para parecer legítimos:

  • Un remitente que aparenta pertenecer a la Guardia Civil, aunque en realidad corresponde a una cuenta ajena (en este caso, vinculada a un centro educativo)

  • La inclusión de direcciones oficiales en el campo de destinatario para reforzar la credibilidad

  • Un lenguaje técnico y jurídico que simula comunicaciones reales de organismos de seguridad

Este tipo de ataques aprovecha la autoridad percibida de las instituciones para anular el pensamiento crítico del usuario, especialmente cuando se introducen conceptos como investigaciones policiales, órdenes judiciales o delitos graves.

El PDF: la pieza clave del engaño

El verdadero núcleo del fraude reside en el documento adjunto. El archivo PDF presenta un diseño complejo que mezcla elementos reales y ficticios con gran precisión visual.

Entre los recursos utilizados destacan:logotipos oficiales del Ministerio del Interior, la Guardia Civil y Europol, marcas de agua con la palabra “CONFIDENCIAL” para reforzar la sensación de gravedad y referencias a operaciones policiales reales, como la denominada “Operación Endgame”

El documento afirma que el dispositivo del usuario ha sido comprometido y convertido en parte de una red botnet, es decir, un “equipo zombie” controlado por ciberdelincuentes. Para aumentar la credibilidad, los atacantes incluyen falsos detalles técnicos, como la supuesta identificación del dispositivo mediante herramientas forenses como Magnet AXIOM, mencionando incluso identificadores como el IMEI o el UUID.

Este nivel de detalle técnico no busca informar, sino intimidar.

La trampa: colaboración bajo presión

Uno de los elementos más sofisticados del ataque es el cambio de rol que se propone a la víctima. En lugar de limitarse a amenazar, el documento ofrece una supuesta “vía de colaboración” para evitar consecuencias legales.

Este enfoque convierte al usuario en un participante activo del fraude. Se le indica que debe responder a una dirección de correo específica incluida en el PDF, bajo la advertencia de que cualquier intento de contactar con terceros será interpretado como una obstrucción a la justicia.

A partir de ese momento, los ciberdelincuentes inician una conversación directa con el objetivo de obtener datos personales, credenciales bancarias o incluso pagos bajo coacción.

Este caso refleja una evolución clara en las campañas de phishing: el paso de mensajes simples a estructuras complejas que combinan múltiples capas de engaño.

Los atacantes ya no se limitan a enviar enlaces maliciosos. Ahora construyen narrativas completas, con documentación falsa, referencias técnicas y estrategias de manipulación psicológica avanzadas.

Este tipo de fraude híbrido —que mezcla phishing, suplantación institucional y extorsión— representa uno de los mayores desafíos actuales en ciberseguridad.

La clave para evitar caer en este tipo de ataques sigue siendo la misma: detenerse y verificar. Ante cualquier comunicación que implique urgencia, amenazas legales o solicitudes de información sensible, es imprescindible contrastar la información a través de canales oficiales.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre