552,97 euros. Esa cantidad exacta ha aparecido esta semana en miles de buzones de correo en España, dentro de un mensaje que finge ser una notificación oficial de Mi Carpeta Ciudadana. INCIBE, el Instituto Nacional de Ciberseguridad, ha registrado la campaña bajo el identificador INCIBE-2026-165 y la ha clasificado como una amenaza activa de phishing dirigida a ciudadanos de toda España.
Lo que hace especialmente peligroso este fraude no es la cantidad de dinero prometida, sino la cantidad de información que consigue robar. En cuestión de minutos, la víctima entrega su nombre completo, fecha de nacimiento, DNI, número de teléfono, correo electrónico, número de cuenta bancaria y contraseña de acceso al banco. Todo en una sola sesión, creyendo que está cobrando una ayuda del Estado.
Cómo funciona la trampa del INCIBE-2026-165 paso a paso
El correo llega desde una dirección como carpetaciudadana@info.com.es. A primera vista parece oficial, pero la administración pública española solo usa dominios que terminan en .gob.es. Cualquier otra extensión, como .com o .info, es la primera señal de alarma que el INCIBE señala en su aviso.
El mensaje cita la Ley 39/2015 y un número de expediente del tipo CC/2026/04837219 para generar confianza técnica. Al pulsar el enlace, el usuario llega a una web que imita a la perfección el diseño de Mi Carpeta Ciudadana, donde se le pide «verificar su identidad» para recibir el supuesto ingreso. El proceso es tan fluido que pocas personas sospechan en ese momento.
El DNI como llave maestra: el dato que más preocupa a INCIBE
Cuando la víctima introduce el DNI en el formulario fraudulento, los estafadores obtienen algo más valioso que una contraseña: obtienen una identidad completa. Con ese dato, combinado con el nombre y la fecha de nacimiento, es posible abrir cuentas bancarias, solicitar créditos o contratar servicios a nombre de otra persona.
El INCIBE lleva años alertando de que el DNI es el eslabón más peligroso en una suplantación de identidad. A diferencia de una contraseña, no puedes cambiarlo. Una vez que está en manos de los delincuentes, los daños pueden aparecer semanas o meses después, cuando ya no recuerdas haber caído en la trampa.
El phishing de este tipo es especialmente efectivo porque combina urgencia administrativa con una recompensa económica. No activa las alarmas habituales del usuario porque el escenario —cobrar una ayuda del Estado— resulta completamente plausible.
Qué ocurre después de que introduces los datos bancarios
Tras el formulario de datos personales, la web fraudulenta simula una pasarela de pago legítima y solicita la contraseña de acceso a la cuenta bancaria. Inmediatamente después, aparece una pantalla de «conexión segura con el banco» que en realidad está enviando las credenciales directamente a los atacantes.
En muchos casos, el fraude activa en tiempo real una transferencia desde la cuenta de la víctima o registra las claves para usarlas más tarde. El margen de reacción es muy estrecho. El INCIBE recomienda contactar con el banco inmediatamente si se ha llegado a ese punto, antes incluso de presentar la denuncia.
INCIBE explica cómo identificar el fraude antes de caer
Hay cuatro señales que el INCIBE detalla en su aviso oficial y que permiten detectar este tipo de phishing antes de pulsar ningún enlace. Conocerlas puede marcar la diferencia entre perder o no perder el acceso a tu cuenta.
Las señales son: el dominio del remitente no termina en .gob.es; el mensaje te invita a responder directamente al correo, algo que los sistemas oficiales nunca hacen; el tono mezcla urgencia legal con una recompensa económica inesperada; y la web de destino solicita credenciales bancarias para «verificar» un cobro, cuando ningún organismo público opera así.
| Señal de fraude | Correo legítimo de la Administración | Correo fraudulento detectado |
|---|---|---|
| Dominio del remitente | Termina en .gob.es | .com.es, .info o similar |
| Solicita respuesta directa | Nunca | Sí, en el cuerpo del mensaje |
| Pide datos bancarios | Nunca | Sí, en formulario web |
| Verificación de identidad | Cl@ve, DNI electrónico, certificado digital | Formulario libre sin garantías |
| Referencia legal | Real y verificable | Copiada, sin enlace oficial |
Qué hacer ahora si has recibido el correo o ya has pulsado el enlace
Si recibiste el correo y no has pulsado nada, el INCIBE pide que lo reenvíes a su buzón de incidentes, bloquees al remitente y lo elimines. Tu colaboración ayuda a identificar variantes nuevas de la campaña y a proteger a otros ciudadanos que aún no lo han recibido.
Si ya introdujiste tus datos, actúa en este orden: llama a tu banco de inmediato para bloquear la cuenta, guarda capturas de todo lo que viste, presenta denuncia ante la Policía o la Guardia Civil y llama al 017, la Línea de Ayuda en Ciberseguridad del INCIBE, que es gratuita y confidencial. El egosurfing periódico, buscar tu nombre en internet para detectar usos fraudulentos, es el último paso que recomienda el organismo para los próximos meses.
