Desconfía de supuestas notificaciones de la Guardia Civil y Europol sobre la «Operación Endgame»
#NoPiques, es fraude quieren iniciar una conversación para conseguir datos personales y bancarios o que realices algún pago utilizando tácticas de extorsión.
Desconfía de supuestas notificaciones de la Guardia Civil y Europol sobre la «Operación Endgame»
Cualquier usuario que reciba el correo electrónico con el asunto «CONVOCATORIA», o similar, con el archivo adjunto denominado «NOTIFICACION_EXP_217-124 (1).pdf» y se haya puesto en contacto con el buzón indicado en el PDF.
Se ha detectado una campaña de correos electrónicos fraudulentos, phishing, que suplantan a la Dirección General de la Guardia Civil y a Europol. Los mensajes utilizan tácticas de alta presión legal y tecnicismos para asustar al destinatario con una supuesta implicación en ciberdelitos internacionales. El objetivo del fraude es iniciar una conversación con la víctima para conseguir datos personales y bancarios o que realice algún pago utilizando tácticas de extorsión.
Si has recibido el correo electrónico, supuestamente de la Guardia Civil, pero no has respondido ni interactuado con el archivo adjunto:
- Reenvíalo a nuestro buzón de incidentes. Esto nos permitirá recopilar la información necesaria para prevenir que otros usuarios caigan en este tipo de fraudes.
- Bloquea al remitente y elimina el mensaje de tu bandeja de entrada.
En caso de haber respondido al correo o facilitada información a través de la dirección de contacto indicada en el PDF, te recomendamos seguir estas pautas:
- Contacta con la Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado.
- Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla del correo y del documento PDF adjunto. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas.
- Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional o Guardia Civil), aportando todas las pruebas recopiladas.
- Practica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida.
- Cambia tus credenciales de acceso en caso de que las hayas facilitado o las utilices en otras cuentas online. Utiliza siempre contraseñas robustas y únicas, preferiblemente con doble factor de autenticación (2FA).
- Si quieres comprobar si algunos de los dispositivos conectados a la red de tu hogar es un “zombie”, utiliza nuestro Servicio Antibotnet.
Si dudas sobre la legitimidad de una comunicación, verifica siempre antes de actuar a través de los canales oficiales, como la web de la Guardia Civil o la Sede Electrónica de la Policía. Recuerda que, para gestiones oficiales, la administración pública utiliza plataformas seguras y nunca solicita responder a correos de dominios gratuitos como el que aparece en este fraude. Las fuerzas de seguridad nunca te notificarán cargos penales graves o una orden de detención de forma exclusiva a través de un correo electrónico genérico. Siempre lo harán de forma certificada o presencial.
Se ha identificado una campaña de phishing que intenta suplantar a Dirección General de la Guardia Civil y al Centro Europeo de Cibercriminalidad. El fraude se apoya en un correo con un documento PDF adjunto de gran complejidad visual que mezcla elementos reales y ficticios para engañar al usuario.
Algunas de las características del correo son:
- Asunto del correo. El mensaje se presenta bajo el asunto «CONVOCATORIA», un término genérico diseñado para captar la atención del usuario sin desvelar el contenido alarmista hasta que se abre el cuerpo del mensaje. Es posible que existan correos con asuntos similares para esta campaña.
- Remitente sospechoso. El correo finge ser de «GCivil Infociudadana». El remitente (18602143.edu@juntadeandalucia[.]es) no tiene relación con las fuerzas de seguridad. Aunque utiliza el dominio real de la Junta de Andalucía para hacerlo más creíble, este correo electrónico pertenece a un Colegio Público Rural situado de Granada. En ese caso los ciberdelincuente utilizan la técnica de mail spoofing.
- El destinatario es una cuenta genérica: gr-infociudadan@guardiacivil.org. Es común que los atacantes pongan una dirección oficial en el campo «Para» para confundir al usuario, pero si lo hemos recibido en nuestra bandeja personal sin que la dirección aparezca claramente, es un envío masivo oculto.
- El mensaje del correo utiliza técnicas de ingeniería social para anular nuestra capacidad de análisis: amenazas legales inmediatas, inminencia de la acción física y autoridad ficticia. Firman como «DIRECCIÓN DE INSTRUCCIÓN DIGITAL», un departamento que no existe en el organigrama oficial.
Si abrimos el documento adjunto veremos una serie de indicios para identificar que la notificación no es legítima:
- Suplantación de identidad. El PDF utiliza logotipos del Ministerio del Interior, la Brigada de Cibercriminalidad y el Centro Europeo de Cibercriminalidad (EC3-Europol). Además, aparece una marca de agua en cada página con la palabra “CONFIDENCIAL”, lo que nos hace pensar que el contenido es extremadamente sensible y nos incita a actuar para «solucionar» el problema rápido.
- Narrativa de la “Operación Endgame”. El documento afirma que el dispositivo del usuario ha sido infectado y convertido en un «zombie» dentro de una red botnet. Utiliza el nombre real de una operación policial («Operación Endgame») para ganar credibilidad.
- Falsos Detalles Técnicos. Alegan haber identificado al usuario mediante el software Magnet AXIOM, extrayendo datos como el número IMEI o el UUID del procesador, con el fin de intimidar con una supuesta «Huella Digital Absoluta».
- Gancho de colaboración. El texto intenta parecer benevolente al ofrecer una «medida de salvaguardia» si el usuario colabora en una auditoría técnica, advirtiendo que cualquier contacto con terceros será visto como una obstrucción.
- Firma Falsa. El documento aparece firmado por un supuesto «jefe de la Unidad Central de Ciberdelincuencia», Pascual Grisolia. Este nombre y apellido no tienen ningún tipo de relación con las Fuerzas y Cuerpos de Seguridad del Estado.
Fuente Guardia Civil e INCIBE
