El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado recientemente sobre la presencia de una nueva estafa informática: una serie de correos electrónicos fraudulentos que suplantan la identidad de la Policía Nacional y de la Guardia Civil con el fin de extorsionar a usuarios incautos y extraer datos personales de los mismos.
Dichos correos incluyen citaciones adjuntas que mencionan haber encontrado pruebas de delitos pornográficos por parte de la víctima; entre ellos, pedofilia, ciberpornografía, fraude fiscal, agresión sexual, exhibicionismo, violencia conyugal, o tráfico sexual.
Acto seguido, solicitan al usuario que proporcione una respuesta lo antes posible (en un plazo de uno, dos o tres días), amenazándole con una orden de detención en caso de ignorar el mensaje. También incluyen una advertencia de que, si no responde, será incluido en una lista de criminales y delincuentes.
Desde INCIBE han advertido a los usuarios que no respondan a este tipo de correos y que los eliminen de inmediato. Señalan que estos mensajes se identifican en el asunto como "su invitación" o "justicia Nacional la pruebas de información en su contra", y que los documentos adjuntos suelen presentar logotipos oficiales pixelados, deformados o desfasados.
Piden también que en ningún caso envíen los destinatarios datos de sus contactos ni se reenvíen dichos mensajes, y que, en caso de recibir este tipo de correos, se recopilen todas las pruebas posibles (capturas de pantalla, mensajes, recibos de pagos, etc.) para poder presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Hay que tener en cuenta que estos correos electrónicos en cuestión, además de los documentos adjuntos en ellos, presentan varias faltas ortográficas y ediciones de imagen deficientes que saltan a la vista de manera evidente (por ejemplo, "El Exhibicionista" en lugar de "exhibicionismo"; o el uso de frases extrañas como "poco después de una incautación de la computadora de la Ciber-infiltración"), ya que únicamente tienen como objetivo estafar a los destinatarios incautos.
Es importante tener en cuenta que dichas amenazas y acusaciones son falsas y que nadie llevará a cabo investigaciones ni se emitirán órdenes de arresto, ya que el único propósito de estos correos es obtener información personal.
Recomiendan también hacer egosurfing (buscar información personal en Internet) para saber de qué manera se están utilizando los datos privados del usuario, con el fin de que pueda ejercer el derecho al olvido si se emplean sin consentimiento.
No es la primera vez que envían correos electrónicos haciéndose pasar por los Cuerpos de Seguridad del Estado. INCIBE advirtió en 2022 de otra campaña de envío de e-mails fraudulentos que, igualmente, empleaba técnicas de ingeniería social para conseguir que se siguieran las indicaciones del ciberdelincuente.
Este tipo de estafas se conocen comúnmente como phishing: esta práctica fraudulenta consiste en enviar enlaces a páginas web con apariencias prácticamente idénticas a las de bancos o sitios web oficiales del Estado, que solicitan nombres de usuario y contraseñas.
Así, la víctima tiende a confiar en esos sitios y proporciona dichos datos que, sin saberlo, van a parar al hacker, quien puede vender la información a terceros o infiltrarse él mismo en la cuenta del usuario.