En diciembre de 2022 el Gobierno de España lanzó la versión definitiva de Mi Carpeta Ciudadana, una herramienta que permite consultar desde el móvil, y desde un único punto, documentación personal que se ha ido actualizando con el paso del tiempo con novedades.
Una plataforma que también ha llamado la atención de los ciberdelincuentes que ya se hacen pasar por este servicio para enviar correos en los que utilizan como cebo un falso abono para robar los datos bancarios.
Según revelan en ESET, se ha descubierto un correo que se ha estado propagando durante los últimos días en el que los hackers tratan de convencer a particulares y empresas de que se les ha concedido un abono por un valor interesante y para reclamarlo solo tienen acceder a su área personal de Mi Carpeta Ciudadana.
Los ciberdelincuentes suplantan la identidad de Mi Carpeta Ciudadana para que las víctimas accedan a una página maliciosa que intenta imitar la apariencia de la web real, copiando el estilo y los logos. Sin embargo, el dominio no tiene nada que ver con la Administración Pública española.
La web también contiene un certificado legítimo, lo que otorga el conocido como ‘Candado de seguridad’, que solo garantiza que la comunicación entre el dispositivo del usuario y la página está cifrada, no que sea una web segura.
Robar los datos bancarios
La estafa funciona de la siguiente manera. Usando como cebo el falso abono, la víctima accede a la web fraudulenta y selecciona si es ciudadano o empresa, presentándole varias páginas consecutivas donde se le solicitan datos personales, como el nombre, dirección postal o el número de identificación.
Una información que es útil para que los ciberdelincuentes preparen campañas contra estos usuarios, la finalidad de la estafa detectada es conseguir los datos de las cuentas bancarias para robarles todo su dinero.
Proceso de la estafa de Mi Carpeta Ciudadana.
El Androide Libre
Con este fin, intentan persuadir a las víctimas de que recibirán el importe mencionado en el mensaje directamente en su cuenta bancaria, motivo por el cual les piden que faciliten el número IBAN de la cuenta en la que desean recibir la transferencia.
A partir de ese momento, y en función de la entidad bancaria vinculada al número de cuenta proporcionado, el proceso genera una nueva pantalla en la que, ya bajo el nombre del banco correspondiente, se le pide a la víctima que introduzca sus credenciales de acceso a la banca digital.
Dado que gran parte de los clientes utilizan su DNI como identificador de usuario —un dato que ya fue recabado en una fase anterior del engaño—, los ciberdelincuentes contarían con todo lo necesario para acceder a la cuenta.
Incluso pueden consultar el saldo disponible y ejecutar una transferencia hacia una cuenta controlada, con toda probabilidad, por un “mula” financiero que se encargará de mover el dinero a cambio de una comisión.
Proceso de la estafa de Mi Carpeta Ciudadana.
El Androide Libre
La investigación señala que los siguientes pasos consisten en realizar el intento de transferencia desde la cuenta de la víctima y pedirle el código de verificación que se suele recibir en el móvil, para culminar el plan.
