Cuidado: esta estafa utiliza el servicio Mi Carpeta Ciudadana para engañarte

Las estafas por Internet están en auge, y cada poco tiempo tenemos que advertir ante un nuevo engaño. En esta ocasión, una nueva campaña de phishing detectada por ESET España está utilizando la imagen de “Mi Carpeta Ciudadana” para intentar robar datos personales y, lo que es más preocupante, el acceso a cuentas bancarias.

Hablamos de una de las mejores herramientas que hay dentro de la Administración Pública, y que los amigos de lo ajeno están aprovechando. ¿Cómo? Suplantando este servicio a través de un correo malicioso.

¿Has recibido un correo de Carpeta Ciudadana? Mucho cuidado

El gancho en esta campaña es especialmente atractivo. Los correos informan de un supuesto abono pendiente a favor del usuario, una cantidad económica que puede resultar lo suficientemente interesante como para despertar curiosidad o urgencia. Para recibir ese dinero, solo hay que acceder al área personal de “Mi Carpeta Ciudadana”.

Como podrás imaginar, si pulsas en el enlace, caerás en la estafa. Al acceder, entrarás en una web fraudulenta que imita con bastante precisión el portal oficial. El nivel de detalle es tal que incluso reproduce el diseño, los logos y la estructura del sitio legítimo.

Lo peor es que, a diferencia de otras estafas menos elaboradas, la web que suplanta a Mi Carpeta Ciudadana, utiliza un certificado válido, lo que hace que aparezca el conocido candado de seguridad en el navegador, dando sensación de veracidad.

Según explica ESET, el dominio utilizado por los atacantes no pertenece a la Administración Pública española y ha sido registrado recientemente, en este caso en la Isla de Man. Es uno de los pocos indicios visibles de que algo no encaja, pero pasa desapercibido para la mayoría de usuarios.

Una vez dentro de la web falsa, el proceso está cuidadosamente diseñado para no levantar sospechas. El usuario debe elegir si accede como ciudadano o empresa, y a partir de ahí comienza una cadena de formularios donde se solicitan datos personales como nombre completo, dirección, teléfono o número de identificación.

Y sí, los atacantes ya te están robando información, pero esta estafa sube de nivel. ¿La razón? El siguiente paso consiste en pedir el número IBAN con la excusa de ingresar el supuesto abono. Dependiendo de la entidad bancaria introducida, la página muestra un nuevo formulario en el que se solicita el acceso a la banca online, incluyendo usuario y contraseña. Claro está, es otro dato que tienen.

Pero la estafa no termina ahí, ya que, tal y como detalla el análisis de ESET, los atacantes pueden intentar realizar transferencias desde la cuenta comprometida y, para completarlas, necesitan el código de verificación que suele enviarse por SMS.

En este punto, es habitual que contacten con la víctima haciéndose pasar por el servicio para solicitar ese código, alegando que es necesario para completar el ingreso prometido. El resultado es devastador: acceso completo a la cuenta y posibilidad de realizar transferencias no autorizadas, generalmente hacia cuentas controladas por intermediarios conocidos como muleros.

Así que , si recibes un correo de Carpeta Ciudadana informando de que tienes un ingreso a tu favor, ignóralo y siempre accede a través de los canales oficiales, no con links que te han enviado.