Están aumentando los correos y SMS que parecen notificaciones oficiales (deudas, inspecciones, “documento pendiente”, “último aviso”). El truco es llevarte a una web falsa para que, sin darte cuenta, autoricen una firma electrónica o entregues datos con los que puedan suplantar tu identidad.
En este artículo verás cómo funciona el engaño, las señales para detectarlo y qué hacer si ya has hecho clic, especialmente si usas certificado digital en el móvil.
Así funciona el fraude (paso a paso)
Cuando el usuario accede al enlace del mensaje:
-
Aterriza en una página que imita a una entidad legítima (por ejemplo, la Agencia Tributaria) con logos y textos creíbles.
-
Te presiona para actuar rápido: “ver documento”, “pagar”, “subsanar”, “continuar”, “descargar notificación”.
-
En algún punto solicita firmar con certificado digital y/o introducir correo y contraseña (a veces después de un falso “error de firma”).
En los casos más peligrosos, el fraude busca el “robo silencioso” del certificado digital: que el atacante consiga usar tu certificado (o instalarlo en su dispositivo) para hacer trámites como si fueras tú.
-
Presentar declaraciones o solicitudes.
-
Acceder a información fiscal, personal o empresarial disponible con ese certificado.
-
Firmar documentos y consentimientos digitales.
-
Realizar gestiones administrativas que queden asociadas a tu identidad digital.
Riesgo clave: si consiguen que tu certificado quede usable fuera de tu control (por ejemplo, instalado en otro móvil o equipo), podrían autorizar trámites en tu nombre en determinados servicios oficiales.
Señales de alerta
(Si ves 2 o más, desconfía)
-
El mensaje transmite urgencia (“último aviso”, “48 horas”, “bloqueo”, “embargo”).
-
El remitente o el dominio no encaja del todo (letras raras, faltas, variantes del nombre oficial).
-
El enlace te lleva a una web que no es la oficial o cambia de dominio al avanzar.
-
Te piden firmar algo que no has solicitado o te aparece una ventana de firma “de repente”.
-
Tras un “error”, la web te solicita correo y contraseña para “validar” o “recuperar”.
Checklist rápida para proteger tu certificado digital
-
Entra tú en la web oficial (sin atajos): Teclea la dirección en el navegador o usa accesos guardados de confianza (por ejemplo, agenciatributaria.es).
-
No entres desde enlaces de correos, SMS o mensajes: Aunque parezcan legítimos, pueden llevarte a páginas clonadas (phishing).
-
No firmes nada que no hayas iniciado tú: Si aparece una solicitud de firma digital de forma inesperada, cancela y verifica por canales oficiales.
-
Ojo con el patrón “firma → error → pide credenciales”: Es un flujo típico del fraude: te hacen intentar firmar y, tras un supuesto fallo, te piden correo y contraseña.
-
Revisa tus certificados instalados Comprueba en el móvil o en el PC si hay certificados que no reconozcas o que no recuerdes haber instalado.
-
Cambia contraseñas cuanto antes si las has introducido: Empieza por el correo (porque desde ahí se recuperan otras cuentas) y activa, si puedes, la verificación en dos pasos.
-
Desconfía de QR “sorpresa”: Un QR puede abrir una web fraudulenta y guiarte a instalar perfiles o certificados. Si no lo has pedido tú, no lo escanees.
Si ya has hecho clic (o has firmado): qué hacer ahora
-
Corta el proceso: cierra la pestaña y no completes más pasos.
-
Cambia la contraseña del correo y de cualquier cuenta donde uses la misma (prioriza banca, administración y servicios clave).
-
Revisa tus certificados instalados en el móvil/PC y elimina los que no reconozcas.
-
Comprueba actividad: inicios de sesión recientes, correos enviados que no recuerdes, reglas extrañas en el buzón.
-
Pide ayuda si tienes dudas: es mejor verificar a tiempo que reaccionar tarde.
Recomendaciones desde Bankinter
-
Bankinter no solicita firmar documentos ni validar datos mediante enlaces enviados por correo o SMS.
-
Si recibes una notificación dudosa, detente y verifica antes de hacer clic.
-
Podemos orientarte para validar el mensaje y revisar señales de posible suplantación en tu cuenta.
Preguntas frecuentes
¿Pueden robarme el certificado digital solo por hacer clic? Hacer clic por sí solo no siempre basta, pero puede llevarte a una web que te haga firmar, instalar algo o entregar credenciales. Por eso, si has entrado, revisa lo que has autorizado y cambia contraseñas cuanto antes.
¿Por qué aparece un “error de firma” y luego me piden el correo? Porque es una técnica habitual para que bajes la guardia: simulan un fallo y te llevan a un formulario de acceso para capturar usuario y contraseña.
¿Es más arriesgado usar el certificado digital en el móvil? No necesariamente, pero sí exige más cuidado con enlaces, QR y pantallas de autorización. Si no has iniciado tú el trámite, no firmes.
¿Qué hago si creo que han usado mi identidad digital? Actúa en este orden: cambia contraseñas (especialmente del correo), revisa certificados instalados, y contacta con los canales oficiales del servicio afectado para verificar trámites recientes.
Recuerda: con tu certificado digital, la prisa es el enemigo. Si un mensaje te empuja a “firmar ya”, para y comprueba la web oficial por tu cuenta. Descubre más consejos en nuestro portal de concienciación en ciberseguridad, porque tus acciones son tu mejor escudo.