Estafa por la nacionalidad española: en nombre de Mi Carpeta Ciudadana, te hacen phishing bancario

Autoridades españolas alertaron sobre una campaña de correos electrónicos fraudulentos que suplanta al servicio oficial Mi Carpeta Ciudadana. El mensaje promete un ingreso de 552,97 euros para obtener datos personales y bancarios. La advertencia apunta especialmente a ciudadanos con nacionalidad española que utilizan trámites digitales del Estado.

La Guardia Civil de España y el Instituto Nacional de Ciberseguridad detectaron una campaña de fraude digital que se difunde por correo electrónico y suplanta a la plataforma oficial Mi Carpeta Ciudadana con el objetivo de cometer estafas contra residentes con nacionalidad española.

El engaño comunica a los destinatarios que se generó a su favor un supuesto ingreso de 552,97 euros y les solicita verificar datos personales para recibir el pago. Según los organismos oficiales, el objetivo real es obtener información sensible como DNI, teléfono, correo electrónico y datos bancarios.

El fraude se presenta como una notificación institucional de la Administración General del Estado y utiliza logos oficiales, lenguaje técnico y referencias administrativas para generar confianza. 

Sin embargo, las autoridades advierten que se trata de un caso de phishing, una técnica utilizada para robar información personal y financiera.

¿Tenés ciudadanía española o estás tramitándola? Podés recibir alertas sobre gestiones, fraudes y cambios en condiciones oficiales directamente en nuestro canal de WhatsApp.

¿Cuál es la advertencia a los ciudadanos con nacionalidad española con Mi Carpeta Ciudadana?

La alerta fue difundida por el Instituto Nacional de Ciberseguridad y replicada por la Guardia Civil, que confirmaron la circulación de correos electrónicos que imitan comunicaciones oficiales del Estado.

El mensaje simula ser una notificación del servicio digital Mi Carpeta Ciudadana, una plataforma que permite a los ciudadanos consultar información personal y realizar trámites administrativos en línea.

Según el aviso oficial publicado el 4 de marzo, la plataforma no está enviando notificaciones sobre ingresos de 552,97 euros, por lo que cualquier mensaje de este tipo debe considerarse fraudulento.

El organismo recomienda a quienes reciban el correo que:

• No accedan al enlace incluido en el mensaje.
• Bloqueen al remitente.
• Eliminen el correo electrónico.

También se solicita reportar el intento de fraude a través del buzón de incidentes de INCIBE para ayudar a detectar nuevas campañas.

¿Cómo es el mensaje que reciben los damnificados con nacionalidad española?

El correo fraudulento se presenta como una notificación institucional con el asunto “Notificación de ingreso disponible – Importe 552,97 €”.

El mensaje afirma que se generó un pago a favor del destinatario y que, para recibirlo, debe completar una verificación de datos personales. Para ello incluye un botón o enlace que supuestamente dirige a la plataforma oficial.

El correo reproduce elementos que buscan generar credibilidad:

• Uso del logo de Mi Carpeta Ciudadana.
• Lenguaje administrativo y referencias de expediente como “CC/2026/04837219”.
• Menciones a normativas como la Ley 39/2015.
• Instrucciones para verificar datos personales y bancarios.

Sin embargo, las autoridades señalan varios indicios de fraude. Uno de los principales es el dominio del remitente, que en algunos casos aparece como: carpetaciudadana@info.com.es.

INCIBE explicó que las comunicaciones oficiales de la administración pública española utilizan dominios que terminan en .gob.es. Cualquier otra terminación como .com o .info es una señal de alerta.

Al ingresar al enlace, el usuario es redirigido a una página que imita el sitio oficial. Allí se le pide completar un formulario con datos personales y posteriormente información bancaria.

¿Qué es el phishing bancario y cómo protegerse de la falsa notificación de Mi Carpeta Ciudadana?

El phishing es una técnica de fraude digital que consiste en suplantar la identidad de una institución para engañar a los usuarios y obtener información sensible.

En este caso, el procedimiento simulado incluye varias etapas para recopilar datos:

• Formulario con nombre, apellido y fecha de nacimiento.
• Solicitud de teléfono, correo electrónico y DNI.
• Pedido de número de cuenta bancaria (IBAN).
• Pantalla que imita una pasarela de pago.
• Solicitud de contraseña de acceso al banco.

Según el Instituto Nacional de Ciberseguridad, al completar estos pasos los delincuentes ya cuentan con información suficiente para intentar operaciones fraudulentas o suplantar la identidad del usuario.

Si una persona accedió al enlace y proporcionó datos, las autoridades recomiendan actuar de inmediato:

• Contactar al banco para informar lo sucedido.
• Guardar capturas de pantalla y evidencias del fraude.
• Presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Revisar periódicamente si los datos personales aparecen publicados en internet.

También recuerdan que los trámites oficiales en España requieren identificación mediante DNI electrónico, certificado digital o sistema Cl@ve. Si una supuesta página de la administración pública no solicita estos métodos de autenticación, puede tratarse de un sitio fraudulento.