Correo suplanta a la Guardia Civil y amenaza con una citación judicial

Cuando se trata de preparar un correo que suplante a una empresa u organización oficial, los delincuentes suelen tener una serie de candidatos que han comprobado que suelen funcionar muy bien como cebo. Uno de ellos es la Guardia Civil, algo que no nos extraña al tratarse de uno de los organismos oficiales mejor valorados por los españoles, por lo que un correo que se haga pasar por ellos suele tener más posibilidades de ser abierto si está redactado de forma aceptable.

Una extraña citación

En los casos recientes donde hemos observado una suplantación de la identidad de una fuerza policial como es la Guardia Civil, los delincuentes han hecho referencia al pago de supuestas multas de tráfico para conseguir que los usuarios descarguen un archivo malicioso. Sin embargo, en un correo enviado recientemente hemos comprobado como se está utilizando el nombre e imagen de la Guardia Civil para informarnos de una supuesta citación judicial.

Si revisamos el cuerpo del mensaje observamos como se menciona y se adjuntan logos de la Guardia Civil, pero también se menciona a Fedpol (Policía Suiza), Interpol y la gendarmería francesa. Por si fuera poco, en el cuerpo del mensaje se indica que esta “invitación” la realiza la propia directora general de la Guardia Civil, María Gámez Gámez, para indicarnos que somos objeto de varias actuaciones judiciales en vigor, que incluyen temas relacionados con la pornografía infantil o la pederastia.

Revisando los remitentes y la citación

Tal y como está redactado este correo, es probable que no pocos usuarios sospechen de su veracidad, y si seguimos revisando algunos puntos como el remitente del email, podremos ver que hay varias cosas que no parecen tener sentido. Por ejemplo, en la cabecera del mensaje aparece una dirección de email supuestamente asociada al Ministerio de Defensa francés, algo poco lógico dentro de una citación judicial enviada por la Guardia Civil.

Con respecto al fichero adjunto, uno esperaría que, tras observar decenas de campañas de correo maliciosas durante los últimos meses, este tuviera algún tipo de código malicioso con el cual los delincuentes tratasen de infectar el sistema de la víctima. Sin embargo, el fichero adjunto es un documento en formato PDF que contiene la supuesta citación judicial.

En este documento podemos ver como, de nuevo, se dirige al usuario la Directora General de la benemérita y se indica que ha sido acusado de delitos relacionados con la difusión de pornografía infantil a través de Internet. Además, se proporciona una dirección de contacto a la que poder enviar las alegaciones que se consideren oportunas antes de 48 horas. Una vez transcurrido ese periodo de tiempo se enviará el supuesto informe a un tribunal para que lo revise.

Es aquí donde se encuentra la finalidad de este correo, y que no sería otra que conseguir que el receptor de este mensaje se ponga en contacto con los delincuentes para que estos le extorsionen con el pago de una cantidad a cambio de no seguir con el falso procedimiento judicial. Esto nos recuerda en parte a las técnicas que empezaron a emplear hace más de una década otros delincuentes con el conocido como “Virus de la Policía”, aunque por aquel entonces se utilizaba el bloqueo de pantalla del dispositivo para forzar a la víctima a realizar el pago.

De hecho, para confirmar esta teoría, decidimos enviar un correo como respuesta a esta citación judicial y, tal y como nos esperábamos, pocos minutos después, recibimos una respuesta automática con las posibles soluciones existentes.

En ese correo de respuesta podemos ver como se ofrecen dos opciones, siendo la primera el procedimiento judicial y, por una mala redacción del mensaje, se indica que se procederá a la detención de la directora de la policía suiza (quien también aparece firmando el documento adjunto al mensaje original), cuando en realidad se quiere hacer referencia a la detención del usuario que recibió el correo.

Sin embargo, vemos como se ofrece otra posibilidad que pasa por pagar una multa de 7.978€, redactando una carta manuscrita con nuestros datos personales y firma, indicando que deseamos pagar esta multa para, seguidamente, hacerle una foto y enviársela. Todo este procedimiento, junto con los errores de redacción nos hacen creer que estamos ante otro caso de las conocidas como estafas nigerianas, aunque en esta ocasión sería una campaña dirigida exclusivamente a usuarios españoles.

Revisando las direcciones de correo

Uno de los puntos que más nos han intrigado de esta campaña de phishing es el relacionado con las direcciones de correo proporcionadas. Por un lado tenemos la que se nos indica como método de contacto para presentar alegaciones al supuesto procedimiento judicial, que utiliza el nombre y apellidos de la directora general de la Guardia Civil y un dominio que está registrado a una empresa de periodismo desde hacer más de 25 años. Con respecto al dominio del Ministerio de Defensa francés desde el cual supuestamente se envía el mensaje, si bien es lógico pensar inicialmente que los delincuentes detrás de este correo están realizando spoofing para suplantar su identidad, en el momento de escribir este artículo la web de dicho ministerio se encuentra en mantenimiento, por lo que no debemos descartar ninguna posibilidad.

En cualquier caso, seguiremos analizando esta campaña de correos y toda la información que obtengamos la proporcionaremos mediante una actualización de este post o generando uno nuevo.

Conclusión

Es posible que los delincuentes detrás de esta campaña piensen que la suplantación de organismos oficiales junto con la amenaza del inicio de acciones judiciales es un buen cebo para conseguir nuevas víctimas. Por suerte, podemos evitar caer en su trampa revisando algunos puntos como los que hemos analizado en este artículo y contando con una solución de seguridad que pueda alertarnos de estos casos de phishing.

Josep Albors

Cómo revisar si nuestro email se ha visto comprometido