La empresa de ciberseguridad ESET ha detectado una campaña de phishing diseñada para robar datos personales y credenciales bancarias mediante la suplantación de ‘Mi Carpeta Ciudadana’, el portal del Gobierno de España que permite acceder a trámites administrativos.

Las víctimas reciben un correo electrónico en el que se les informa de la supuesta concesión de un abono. Para reclamarlo, se les indica que deben acceder al área personal del portal ‘Mi Carpeta Ciudadana’.

Alerta por modalidad de estafa con enlaces que llegan por SMS: cómo un simple clic puede dejar sus cuentas bancarias vacías

“Tras una revisión exhaustiva, se ha determinado que, de conformidad con las decisiones de las autoridades competentes, tiene derecho a un importe de 283,70 euros (para ciudadanos) o 541,30 euros (para empresas), que ya está disponible para usted”, señala el mensaje, según ha compartido la compañía.

Al hacer clic en el enlace, los usuarios son redirigidos a una página fraudulenta que imita el diseño y los logotipos del sitio oficial. Sin embargo, la compañía advierte que el dominio no guarda relación con el Gobierno y que, además, está registrado en la Isla de Man (Reino Unido).

Aun así, los usuarios pueden confiarse al ver el icono del candado y un certificado aparentemente válido. No obstante, los expertos recuerdan que este elemento solo garantiza que la conexión está cifrada, pero no que la página sea legítima.

El mensaje no habla de sorteos ni premios, sino de un “abono concedido”, lo que suena más formal y creíble. Foto: Getty Images/iStockphoto

Una vez dentro del sitio falso, la víctima debe elegir entre ciudadano o empresa y avanzar por varias pantallas en las que se le solicitan datos personales como nombre, dirección, teléfono o DNI. Aunque esta información puede ser utilizada en futuros ataques, el principal objetivo de los ciberdelincuentes es acceder a las cuentas bancarias.

Para ello, solicitan el número IBAN con el pretexto de realizar el ingreso prometido. Posteriormente, piden al usuario introducir la contraseña de su banca ‘online’. En este punto, los atacantes ya cuentan con la información necesaria para acceder a la cuenta, consultar el saldo e intentar realizar transferencias.

Los ciberdelincuentes pueden alterar conversaciones para engañar a los usuarios. Foto: Getty Images/iStockphoto

En muchos casos, las entidades financieras requieren un código de verificación adicional para autorizar movimientos. Ante esta medida, los delincuentes recurren al número de teléfono proporcionado previamente para llamar a la víctima y solicitar dicho código, alegando que es necesario para completar el supuesto abono.

Frente a este tipo de campañas, los profesionales en ciberseguridad insisten en la importancia de reconocer los patrones habituales del fraude y contar con soluciones de seguridad capaces de detectar y clasificar estos correos como spam. Por su parte, FACUA recomienda bloquear al remitente y eliminar el mensaje si no se ha accedido al enlace.

Google, Meta y Microsoft se alían contra el fraude: así funciona la iniciativa que busca frenar el contenido engañoso en línea

En caso de haber interactuado con la web fraudulenta, se aconseja contactar con la Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado.

*Con información de Europa Press