Una campaña masiva de phishing está afectando a miles de ciudadanos que reciben mensajes fraudulentos haciéndose pasar por el servicio oficial de Mi Carpeta Ciudadana. El Instituto Nacional de Ciberseguridad ha lanzado una alerta urgente tras detectar esta sofisticada operación que utiliza como anzuelo un supuesto ingreso pendiente de 552,97 euros. Los estafadores han perfeccionado sus técnicas hasta imitar con extrema precisión las comunicaciones oficiales de la Administración Pública española.
La táctica resulta especialmente peligrosa porque aprovecha la confianza ciudadana en los servicios digitales gubernamentales, un espacio que cada vez más españoles utilizan para gestionar trámites burocráticos desde casa. El mensaje fraudulento llega generalmente por correo electrónico, aunque también se han detectado casos a través de SMS y aplicaciones de mensajería instantánea. La comunicación aparenta provenir directamente del portal Mi Carpeta Ciudadana, informando al receptor de que tiene pendiente de cobro una cantidad específica que debe reclamar siguiendo un enlace adjunto.
Anatomía de la estafa digital
El funcionamiento de esta trampa revela un nivel preocupante de elaboración técnica. Los ciberdelincuentes han creado páginas web que replican fielmente el diseño oficial del portal gubernamental, incluyendo logotipos, colores corporativos y hasta el estilo de redacción característico de las comunicaciones administrativas. Según los expertos del INCIBE, el fraude comienza con un correo que incluye referencias legales ficticias, números de expediente inventados y un formato que imita las notificaciones auténticas.
El remitente utiliza direcciones que a simple vista pueden parecer legítimas, pero que carecen del dominio oficial '.gob.es' que identifica a todas las entidades públicas españolas. Una vez que la víctima accede al enlace malicioso, se inicia un proceso de recopilación de datos en múltiples fases. Primero solicitan información personal básica: nombre completo, fecha de nacimiento, número de teléfono, dirección de correo electrónico y Documento Nacional de Identidad. Esta primera pantalla genera una falsa sensación de legitimidad.
En la segunda fase, la web fraudulenta pide el númerode cuenta bancaria con el pretexto de realizar el supuesto ingreso prometido. Finalmente, aparece una pasarela de pago completamente falsa donde solicitan las contraseñas bancarias y códigos de acceso. En este punto, si el usuario completa todos los campos, los estafadores ya disponen de acceso completo a sus cuentas financieras.
Señales de alarma para detectar el fraude
Los especialistas en ciberseguridad han identificado varios indicadores que permiten distinguir estas comunicaciones fraudulentas de las legítimas. El primer elemento sospechoso es el remitente: aunque intente parecer oficial, nunca utilizará el dominio gubernamental verificado. El contenido del mensaje presenta características típicas de los intentos de phishing: promesas de dinero inesperado, urgencia para completar la operación y enlaces que no corresponden con la dirección oficial del portal Mi Carpeta Ciudadana.
Un aspecto fundamental que delata el fraude es que solicitan información que nunca pediría un organismo oficial español. Los servicios públicos digitales auténticos utilizan sistemas de identificación como Cl@ve, certificado digital o DNI electrónico para verificar la identidad de los usuarios, pero jamás solicitan contraseñas bancarias ni datos de tarjetas de crédito. Además, las comunicaciones oficiales de la Administración nunca incluyen pasarelas de pago en sus notificaciones. Los procedimientos para devoluciones o ingresos públicos siguen protocolos establecidos que no requieren que el ciudadano facilite datos bancarios mediante enlaces en correos electrónicos.
Protocolo de actuación ante el fraude
Si un ciudadano recibe este tipo de mensaje, la recomendación principal es no interactuar con ningún elemento del correo o SMS. No debe hacer clic en enlaces, descargar archivos adjuntos ni responder al remitente. Lo más seguro es bloquear inmediatamente la dirección de origen y eliminar el mensaje del buzón de entrada. El INCIBE ha habilitado canales específicos para reportar estos incidentes. Los ciudadanos pueden llamar al teléfono gratuito 017 o acceder a la Línea de Ayuda en Ciberseguridad disponible en su portal web, donde profesionales especializados ofrecen asesoramiento personalizado sobre cómo proceder.
Para quienes desafortunadamente ya hayan facilitado sus datos personales o bancarios, el tiempo de reacción resulta crítico. Deben contactar inmediatamente con su entidad bancaria para bloquear cuentas y tarjetas comprometidas, evitando así posibles cargos fraudulentos o vaciado de fondos. Paralelamente, es imprescindible presentar una denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado, bien sea la Policía Nacional o la Guardia Civil. Esta acción no solo permite iniciar una investigación, sino que genera un registro oficial que puede resultar útil para reclamaciones posteriores ante entidades financieras o aseguradoras.