Contenido principal de la web
firma-digital.llave.png

Alerta: así intentan robar tu certificado digital (y qué hacer para evitarlo)

seguridad digital
default

08.04.2026

Autor:


Están aumentando los correos y SMS que parecen notificaciones oficiales (deudas, inspecciones, “documento pendiente”, “último aviso”). El truco es llevarte a una web falsa para que, sin darte cuenta, autoricen una firma electrónica o entregues datos con los que puedan suplantar tu identidad.

En este artículo verás cómo funciona el engaño, las señales para detectarlo y qué hacer si ya has hecho clic, especialmente si usas certificado digital en el móvil.

Así funciona el fraude (paso a paso)

Cuando el usuario accede al enlace del mensaje:

  • Aterriza en una página que imita a una entidad legítima (por ejemplo, la Agencia Tributaria) con logos y textos creíbles.

  • Te presiona para actuar rápido: “ver documento”, “pagar”, “subsanar”, “continuar”, “descargar notificación”.

  • En algún punto solicita firmar con certificado digital y/o introducir correo y contraseña (a veces después de un falso “error de firma”).

En los casos más peligrosos, el fraude busca el “robo silencioso” del certificado digital: que el atacante consiga usar tu certificado (o instalarlo en su dispositivo) para hacer trámites como si fueras tú.

  • Presentar declaraciones o solicitudes.

  • Acceder a información fiscal, personal o empresarial disponible con ese certificado.

  • Firmar documentos y consentimientos digitales.

  • Realizar gestiones administrativas que queden asociadas a tu identidad digital.

Riesgo clave: si consiguen que tu certificado quede usable fuera de tu control (por ejemplo, instalado en otro móvil o equipo), podrían autorizar trámites en tu nombre en determinados servicios oficiales.

Señales de alerta

(Si ves 2 o más, desconfía)

  • El mensaje transmite urgencia (“último aviso”, “48 horas”, “bloqueo”, “embargo”).

  • El remitente o el dominio no encaja del todo (letras raras, faltas, variantes del nombre oficial).

  • El enlace te lleva a una web que no es la oficial o cambia de dominio al avanzar.

  • Te piden firmar algo que no has solicitado o te aparece una ventana de firma “de repente”.

  • Tras un “error”, la web te solicita correo y contraseña para “validar” o “recuperar”.

Checklist rápida para proteger tu certificado digital

  1. Entra tú en la web oficial (sin atajos): Teclea la dirección en el navegador o usa accesos guardados de confianza (por ejemplo, agenciatributaria.es).

  2. No entres desde enlaces de correos, SMS o mensajes: Aunque parezcan legítimos, pueden llevarte a páginas clonadas (phishing). 

  3. No firmes nada que no hayas iniciado tú: Si aparece una solicitud de firma digital de forma inesperada, cancela y verifica por canales oficiales.

  4. Ojo con el patrón “firma → error → pide credenciales”: Es un flujo típico del fraude: te hacen intentar firmar y, tras un supuesto fallo, te piden correo y contraseña. 

  5. Revisa tus certificados instalados Comprueba en el móvil o en el PC si hay certificados que no reconozcas o que no recuerdes haber instalado.

  6. Cambia contraseñas cuanto antes si las has introducido: Empieza por el correo (porque desde ahí se recuperan otras cuentas) y activa, si puedes, la verificación en dos pasos. 

  7. Desconfía de QR “sorpresa”: Un QR puede abrir una web fraudulenta y guiarte a instalar perfiles o certificados. Si no lo has pedido tú, no lo escanees.

Si ya has hecho clic (o has firmado): qué hacer ahora

  1. Corta el proceso: cierra la pestaña y no completes más pasos.

  2. Cambia la contraseña del correo y de cualquier cuenta donde uses la misma (prioriza banca, administración y servicios clave).

  3. Revisa tus certificados instalados en el móvil/PC y elimina los que no reconozcas.

  4. Comprueba actividad: inicios de sesión recientes, correos enviados que no recuerdes, reglas extrañas en el buzón.

  5. Pide ayuda si tienes dudas: es mejor verificar a tiempo que reaccionar tarde.

Recomendaciones desde Bankinter

  • Bankinter no solicita firmar documentos ni validar datos mediante enlaces enviados por correo o SMS.

  • Si recibes una notificación dudosa, detente y verifica antes de hacer clic. 

  • Podemos orientarte para validar el mensaje y revisar señales de posible suplantación en tu cuenta.

Preguntas frecuentes

¿Pueden robarme el certificado digital solo por hacer clic? Hacer clic por sí solo no siempre basta, pero puede llevarte a una web que te haga firmar, instalar algo o entregar credenciales. Por eso, si has entrado, revisa lo que has autorizado y cambia contraseñas cuanto antes.

¿Por qué aparece un “error de firma” y luego me piden el correo? Porque es una técnica habitual para que bajes la guardia: simulan un fallo y te llevan a un formulario de acceso para capturar usuario y contraseña.

¿Es más arriesgado usar el certificado digital en el móvil? No necesariamente, pero sí exige más cuidado con enlaces, QR y pantallas de autorización. Si no has iniciado tú el trámite, no firmes.

¿Qué hago si creo que han usado mi identidad digital? Actúa en este orden: cambia contraseñas (especialmente del correo), revisa certificados instalados, y contacta con los canales oficiales del servicio afectado para verificar trámites recientes.

Recuerda: con tu certificado digital, la prisa es el enemigo. Si un mensaje te empuja a “firmar ya”, para y comprueba la web oficial por tu cuenta. Descubre más consejos en nuestro portal de concienciación en ciberseguridad, porque tus acciones son tu mejor escudo.

BK-167x150_cuentanomina.jpg

¡DESCUBRE NUESTRO CANAL EN TELEGRAM! Suscríbete ya y recibe en tu móvil noticias y consejos para mejorar tus finanzas.

Suscribirse

Introduzca su correo electrónico para suscribirse.

Introduzca un correo electrónico válido para suscribirse
Por favor, seleccione resumen diario o semanal
Debe aceptar la Cláusula de Protección de Datos