Los ciberdelincuentes saben que pocas cosas generan tanta curiosidad como un ingreso inesperado en la cuenta bancaria. Aprovechando ese impulso, una nueva campaña de phishing está circulando por correo electrónico suplantando la identidad de Mi Carpeta Ciudadana, el servicio digital del Gobierno de España que permite a los ciudadanos consultar información administrativa y realizar trámites con distintas administraciones públicas.

El fraude, detectado por el Instituto Nacional de Ciberseguridad (INCIBE), utiliza como gancho un supuesto ingreso a favor del usuario por valor de 552,97 euros. Sin embargo, detrás de esta notificación aparentemente oficial se esconde una estrategia diseñada para robar datos personales y bancarios.

Un correo que imita una notificación oficial

La campaña comienza con un correo electrónico que aparenta ser una comunicación legítima del sistema de notificaciones de la Administración. El mensaje informa al destinatario de que “se ha generado a su favor un ingreso por importe de 552,97 €” y le invita a acceder a un enlace para completar el procedimiento.

El asunto del correo suele incluir frases como “Notificación de ingreso disponible – Importe 552,97€”, una fórmula diseñada para despertar interés inmediato y provocar que el usuario pulse en el enlace sin detenerse a comprobar su autenticidad.

El mensaje incorpora elementos típicos de las comunicaciones oficiales: el logo de Mi Carpeta Ciudadana, referencias a normativa administrativa como la Ley 39/2015, números de expediente ficticios e incluso menciones a sistemas de identificación electrónica como Cl@ve o el DNI electrónico. Todo ello busca reforzar la credibilidad del correo y reducir las sospechas del destinatario.

Sin embargo, un análisis más detallado revela varios indicios claros de fraude.

La primera pista: el dominio del remitente

Uno de los errores más evidentes de esta campaña se encuentra en la dirección del remitente. Los correos detectados proceden de cuentas como [email protected].

Las comunicaciones oficiales de la Administración General del Estado utilizan siempre dominios terminados en .gob.es. Cualquier notificación que proceda de dominios como .com, .info o combinaciones similares debe considerarse sospechosa.

Este tipo de incongruencias suele ser el primer indicador de una campaña de suplantación.

Un enlace que conduce a una web fraudulenta

Si el usuario pulsa en el enlace incluido en el correo, es redirigido a una página web que imita visualmente la plataforma de Mi Carpeta Ciudadana. El objetivo es generar una sensación de legitimidad suficiente para que la víctima continúe con el proceso.

La página informa de que es necesario completar una verificación de identidad para poder tramitar el supuesto ingreso. A partir de ahí comienza un proceso escalonado de recopilación de información.

En primer lugar, se solicita introducir datos personales básicos:Nombre y apellidos, fecha de nacimiento, número de teléfono, correo electrónico y documento de identidad (DNI o NIE)

Posteriormente, el sistema simula un proceso automático de verificación para dar apariencia de legitimidad. Esta técnica es común en campañas de phishing avanzadas: las pantallas intermedias ayudan a reforzar la sensación de que se está interactuando con un sistema oficial.

El objetivo final: los datos bancarios

Tras completar la primera fase de verificación, la página solicita introducir el IBAN de la cuenta bancaria para recibir el supuesto ingreso.

El fraude no termina ahí. A continuación, aparece una pantalla que simula una pasarela bancaria, en la que se pide introducir la contraseña de acceso a la cuenta.

Finalmente, la web muestra un mensaje indicando que se está estableciendo una “conexión segura con el banco”. En ese punto, los ciberdelincuentes ya han obtenido suficiente información para intentar cometer fraudes financieros o suplantaciones de identidad.

Según los expertos en ciberseguridad, este tipo de campañas buscan recopilar datos que posteriormente pueden utilizarse para: acceder a cuentas bancarias, realizar transferencias fraudulentas, solicitar créditos en nombre de la víctima y ejecutar nuevas campañas de fraude utilizando la identidad robada.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre