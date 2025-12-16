Llega a tu buzón con sello oficial, lenguaje jurídico y delitos terribles. Quien la lee se bloquea y comete errores.
La Policía Nacional lanza un aviso: esa supuesta carta oficial que acusa de delitos gravísimos es un fraude por phishing. Busca robar datos y dinero aprovechando el miedo y la urgencia.
Qué está pasando
En las últimas semanas, ciudadanos de toda España están recibiendo un correo con apariencia institucional. Usa logotipos y tipografías de organismos como la Policía Nacional o el Centro Nacional de Inteligencia (CNI). El texto sostiene que se ha abierto una investigación por delitos de extrema gravedad: pornografía infantil, tráfico de drogas, ciberdelitos o contacto con menores con fines sexuales. Todo va aderezado con tecnicismos legales y referencias a “investigaciones internas”.
Ese envoltorio busca una reacción automática: pánico, prisa, click. El mensaje incluye un enlace o un archivo para “responder al requerimiento” en menos de 48 horas, con amenazas de detención, multas elevadas o prisión si no se obedece. Es la trampa clásica del ingenio social.
La Policía recuerda: las citaciones reales no llegan por correo masivo, no incluyen enlaces de pago y no piden contraseñas.
Cómo opera el engaño
El patrón se repite. Al abrir el correo, el destinatario encuentra una “citación oficial” y un plazo impracticable. El enlace dirige a una web clonada o descarga un fichero que instala malware para robar claves. Otras veces exige datos bancarios para “regularizar la situación”.
Amenazas tipo que incluyen estas cartas
- “Orden de detención” si no respondes de inmediato.
- “Multa administrativa” de hasta 120.000 euros si ignoras el requerimiento.
- “Pena de prisión” por obstrucción a la Justicia si no colaboras.
Si el mensaje combina delitos gravísimos, plazos de 24–48 horas y un enlace urgente, estás ante phishing.
Cómo diferenciar una notificación real
Una institución pública no comunicará una citación judicial con un email genérico ni a través de un enlace incrustado. Las vías habituales son el correo certificado, la sede electrónica del organismo o la Dirección Electrónica Habilitada única (DEHú). Puede llegar un aviso por email o SMS, pero solo para informarte de que tienes una notificación disponible tras iniciar sesión segura; jamás para que pagues una multa o envíes datos bancarios.
Señales claras de que la carta es falsa
- Remitente extraño o dominio que no pertenece a una administración pública.
- Logotipos pixelados, sellos desproporcionados o firmas genéricas de “Dirección General”.
- Urgencia asfixiante: 24–48 horas para cumplir o “detención inmediata”.
- Enlaces acortados o que apuntan a dominios fuera del .gob.es.
- Adjuntos comprimidos (.zip, .rar) o ejecutables.
- Errores gramaticales, traducciones literales o uso errático de mayúsculas.
- Número de expediente imposible de verificar o cambiado en el cuerpo del texto.
- Solicitudes de pago o de credenciales bajo pretexto de “verificación”.
Qué hacer si te llega una de estas cartas
Tu mejor defensa es cortar la interacción y conservar pruebas. Esto minimiza daño y ayuda a las investigaciones.
|Acción recomendada
|Objetivo
|No pulses enlaces ni descargues adjuntos
|Evitar la infección del dispositivo o el acceso a webs clonadas
|Haz capturas del correo completo y del remitente
|Guardar evidencia para denunciar y reportar al soporte
|Elimina el mensaje de la bandeja de entrada y de “Papelera”
|Reducir riesgo de clicks accidentales posteriores
|Contacta por canales oficiales del organismo citado
|Verificar si existe realmente una notificación a tu nombre
|Llama al 017 (INCIBE) para orientación
|Recibir asesoramiento técnico y de contención
|Presenta denuncia en comisaría si hubo perjuicio
|Activar vías penales y de investigación
Si ya hiciste clic o diste datos
- Desconecta el equipo de Internet y pasa un análisis con antivirus actualizado.
- Cambia contraseñas de email, banca, redes sociales y habilita doble factor.
- Revoca sesiones abiertas y cierra sesiones en todos los dispositivos.
- Contacta con tu banco para bloquear tarjetas y vigilar movimientos.
- Activa alertas de transacciones y revisa periódicamente tus extractos.
- Denuncia y aporta capturas, cabeceras del correo y cualquier cargo fraudulento.
Ningún organismo oficial pedirá por email tu PIN, contraseñas o números completos de tarjetas. Si te lo exigen, es fraude.
Por qué funciona este engaño
Los delincuentes explotan tres resortes psicológicos. El primero es la autoridad: el uso de nombres como Policía Nacional o CNI neutraliza la duda. El segundo es la urgencia: los plazos cortos reducen la capacidad de análisis. El tercero es la vergüenza: acusaciones relacionadas con delitos sexuales empujan a “limpiar el nombre” de inmediato y en silencio, justo lo que busca el estafador.
Además, estas campañas han madurado. Imitan sellos, copian la redacción de resoluciones reales y personalizan con tu nombre o DNI obtenido de filtraciones previas. Ese barniz de verosimilitud convence a demasiada gente.
Protección en casa y en el trabajo
Las familias pueden acordar un protocolo: nadie pulsa un enlace sobre multas, citaciones o paquetes sin consultarlo antes. Mantener sistemas actualizados, usar gestores de contraseñas y activar la verificación en dos pasos reduce la superficie de ataque.
En pymes y despachos, conviene un plan mínimo: formación trimestral contra phishing, reglas de “doble control” para pagos, y políticas de correo con SPF, DKIM y DMARC bien configurados. Un simulacro interno al trimestre destapa errores de procedimiento que un delincuente aprovecharía.
El chequeo de 30 segundos antes de abrir nada
- Remitente: ¿dominio legítimo y verificado?
- Canal: ¿te obligan a actuar desde el propio email?
- Contenido: ¿amenazas, urgencias y faltas de ortografía?
- Enlace: pasa el ratón y mira el destino real; si dudas, no entres.
- Confirmación: abre la sede electrónica por tu cuenta y comprueba si hay notificación.
Si no lo esperas, lo temes y te urge, sospecha. Tómate 30 segundos para verificar por canales oficiales.
Información útil para ir un paso por delante
La citación auténtica deja rastro verificable: número de expediente consistente, sello temporal y acceso desde una sede con certificado digital. Si el correo promete “resolverlo todo con un pago rápido”, corta. El canal correcto nunca es el más fácil; siempre exige identificarte de forma segura.
Si quieres practicar, simula la recepción de una “citación” con un compañero y comprueba si tu familia o tu equipo detecta los fallos. Cronometra el tiempo que tardan en pedir una verificación externa. Repite el ejercicio una vez al mes. Convertir la sospecha en hábito reduce el riesgo real de caer la próxima vez.