La suplantación de administraciones públicas y organismos oficiales como las Fuerzas y Cuerpos de Seguridad del Estado es algo que los ciberdelincuentes realizan frecuentemente para ganarse la confianza de los usuarios. Los correos o mensajes que se envían haciéndose pasar por fuerzas policiales como la Policía Nacional son bastantes frecuentes, sabedores de que no pocos de los receptores les prestarán especial atención y algunos caerán en la trampa preparada por los criminales.

Una orden judicial de la Policía Nacional

En esta ocasión analizamos una campaña que se ha empezado a propagar esta misma mañana y que recuerda a campañas anteriores observadas hace un par de años. Desde entonces, hemos visto cómo los delincuentes se han hecho pasar por organizaciones policiales como Interpol, Europol, la Guardia Civil o la misma Policía Nacional, tal y como ellos mismos denunciaron.

En este nuevo correo observamos que, de forma escueta, se nos invita a leer el documento adjunto que contiene información que nos interesa. Además, este correo aparece supuestamente enviado por Francisco Pardo, actual Director General de la Policía Nacional, aunque los delincuentes han cometido un error al escribir su apellido. No es el único error cometido en este mensaje, ya que la dirección desde la que dice provenir pertenece a una cuenta de Gmail, algo bastante extraño tratándose de un organismo oficial.

A pesar de que el mensaje resulta altamente sospechoso, es bastante probable que algún usuario asustado proceda a abrir el fichero adjunto para ver su contenido, encontrándose con lo que parece una citación judicial por el consumo de material pornográfico ilegal, incluyendo pornografía infantil.

Tras leer este documento, es probable que algún usuario se asuste y realmente crea que se ha abierto un procedimiento judicial contra él y que la Policía Nacional y la Interpol le siguen la pista. Los delincuentes instan a que se les responda al email alegando sus justificaciones ante esta denuncia en un plazo máximo de 72 horas. En caso de no hacerlo, amenazan con penas de hasta 15 años de prisión y severas multas económicas, algo que se han sacado de la manga para asustar aun más a los incautos que caigan en esta trampa.

En caso de que un usuario contacte con los criminales, estos le ofrecerán la posibilidad de realizar un acuerdo extrajudicial que supone el pago de una multa de varios miles de euros. Por ese motivo se desaconseja firmemente responder a este tipo de correos, ya que los delincuentes intentan sacar información de la víctima (además de dinero) que puedan usar en campañas posteriores más personalizadas.

Consejos para hacer frente a estas campañas maliciosas

Como en todos los casos de suplantación de identidad de algún organismo oficial, los delincuentes se aprovechan de la buena reputación del organismo suplantado para engañar a sus víctimas. Sin embargo, podemos evitar caer en este tipo de estafas si seguimos los siguientes consejos:

• Las comunicaciones oficiales legítimas de este tipo suelen venir por correo postal certificado. Desconfía de correos electrónicos y mensajes SMS no solicitados que provengan de organismos oficiales y, ante la duda, ponte en contacto usando los canales oficiales.
• Es importante evitar responder a este tipo de mensajes para que los delincuentes no confirmen que la cuenta se encuentra activa y nos envíen más campañas de este u otro estilo.
• Aunque estamos ante un caso de ingeniería social, no es extraño ver cómo, en fases más avanzadas de la estafa, los delincuentes utilizan códigos maliciosos para tomar control del dispositivo de la víctima para robar todo tipo de información personal que les pueda resultar útil. Por ese motivo es importante disponer de una solución de seguridad y mantener tanto el sistema operativo como las aplicaciones que usemos debidamente actualizados.
• Los delincuentes intentan llegar al mayor número de usuarios para así conseguir el mayor número posible de víctimas. Es importante que no reenvíes este correo a familiares y conocidos para evitar que caigan en la trampa, y si quieres avisarlos de la estafa, es mejor que utilices capturas de pantalla o comunicados oficiales.
• Probablemente te preguntes cómo los delincuentes han obtenido la dirección de tu correo electrónico. Lamentablemente, es muy probable que se haya filtrado en alguna de las múltiples brechas de seguridad producidas durante los últimos años, por lo que es recomendable que revises si tu email se ha filtrado y busques qué tipo de información tuya está disponible en Internet y podría ser utilizada en tu contra por los delincuentes.
• Mantenerse informado acerca de las campañas maliciosas que preparan los delincuentes constantemente es muy importante para estar prevenido. Por ese motivo es muy recomendable consultar periódicamente blogs que traten temas de ciberseguridad y servicios que alerten de posibles campañas de timos y estafas.

“No es extraño que los delincuentes reciclen sus estafas y reutilicen estrategias que les han resultado exitosas en el pasado”, comenta Josep Albors, responsable de investigación y concienciación de ESET España. “Lo que debemos hacer, como usuarios, es mantenernos informados acerca de las tácticas empleadas con anterioridad para aprender a reconocer cuándo estamos ante un posible caso de estafa y actuar en consecuencia para evitar convertirnos en una víctimas más”, concluye Albors.