Las estafas y fraudes cometidos por ciberdelincuentes no dejan de aumentar. Cada día salen a la luz nuevas modalidades de engaño que evidencian la capacidad de estos delincuentes para adaptarse y aprovechar las herramientas tecnológicas con el fin de robar información personal. Parte de su éxito radica en la astucia con la que diseñan estos ataques, lo que les permite expandir este problema con facilidad en distintos países del mundo, entre ellos España.
En este contexto, el Instituto Nacional de Ciberseguridad de España (INCIBE) alerta de forma constante sobre nuevas campañas de fraude a las que los usuarios deben prestar atención, ya que su información más sensible puede estar en riesgo. Recientemente, la entidad advirtió sobre una estafa que suplanta la identidad del servicio “Mi Carpeta Ciudadana” para enviar notificaciones falsas y engañar a las víctimas.
“Se ha identificado una campaña fraudulenta de correos electrónicos que suplanta la identidad de ‘Mi Carpeta Ciudadana’, un servicio digital del Gobierno de España que permite consultar y gestionar información y trámites administrativos en un solo lugar, sin necesidad de acudir físicamente a oficinas públicas. El correo simula una notificación oficial en la que se comunica al usuario que ‘se ha generado a su favor un ingreso por importe de 552,97 €’”, explican los expertos en un comunicado.
Detrás de este mensaje aparentemente oficial se esconde un intento de phishing cuyo objetivo es recopilar información personal y bancaria de las víctimas.
Cómo funciona la estafa
Para aumentar la credibilidad, los estafadores utilizan el logo oficial del servicio, un lenguaje formal y referencias a normativas o expedientes administrativos. Incluso mencionan la Ley 39/2015 y códigos como CC/2026/04837219, con el objetivo de dar la impresión de que se trata de una comunicación legítima.
El asunto del correo suele incluir frases como “Notificación de ingreso disponible – Importe 552,97 €”, un recurso diseñado para despertar curiosidad y generar una sensación de urgencia. De esta forma, buscan que el usuario haga clic en el botón “Acceder ahora” sin comprobar antes la autenticidad del mensaje.
Señales para identificar el fraude
Aunque el correo intenta parecer oficial, existen varias pistas que permiten identificar que se trata de un intento de estafa.
Una de las más evidentes es el dominio del remitente. En muchos casos el mensaje proviene de direcciones como carpetaciudadana@info.com.es. Sin embargo, las comunicaciones oficiales de la administración española utilizan dominios que terminan en .gob.es. Cualquier otra terminación, como .com o .info, debe considerarse sospechosa.
También resulta inusual que el mensaje invite al usuario a responder directamente al correo si tiene dudas. Los sistemas oficiales de notificaciones electrónicas no funcionan de esta manera y, por lo general, no solicitan respuestas por correo electrónico.
Además, aunque el texto menciona métodos de identificación como Cl@ve o el DNI electrónico, el verdadero objetivo es redirigir a la víctima a una página web falsa donde se le pedirá introducir sus credenciales y datos bancarios.
Qué hacer si recibe este correo
Si recibe un mensaje de este tipo y no ha accedido al enlace, lo más recomendable es reportarlo al buzón de incidentes correspondiente, bloquear al remitente y eliminar el correo. Esto puede ayudar a las autoridades a detectar nuevas campañas de fraude.
En caso de que el usuario haya hecho clic en el enlace y proporcionado información personal o bancaria, es fundamental actuar con rapidez para reducir los posibles daños.
Lo primero es contactar inmediatamente con la entidad bancaria para informar de lo ocurrido y activar las medidas de protección necesarias. También se recomienda guardar capturas de pantalla y cualquier evidencia del fraude, ya que pueden ser útiles en una investigación.