¡Alerta! Los ciberdelincuentes no descansan
15 octubre 2025
Es muy probable que últimamente haya recibido usted algún mensaje solicitándole datos personales y urgiéndole al pago de una multa de tráfico pendiente. Se trata de un tipo de estafa on line, conocida como ‘phishing’ y se realiza a través de envíos masivos indiscriminados de comunicaciones falsas suplantando a empresas -habitualmente bancos- y organismos públicos como la DGT para conseguir un beneficio económico.
“El ‘phishing’ es el método de ciberataque más común para engañar a un usuario. A través del correo electrónico o de mensajes de texto los atacantes engañan a su víctima para obtener datos personales (número de tarjeta de crédito, credenciales de acceso), o le inducen (incluso coaccionan) para que realice un pago”, explica el Departamento de Ciberseguridad de la DGT.
Negocio mundial
La cibercriminalidad es un negocio que mueve varios trillones de dólares a nivel mundial. Y el 90 % de estos delitos son fraudes informáticos. Según datos de la Policía Nacional, en España el número de estafas digitales aumenta un 10 % cada año. Solamente en 2022 se denunciaron cerca de 374.000 delitos informáticos:
“Hay campañas masivas de ciberdelitos de este tipo, la creatividad de estos delincuentes no tiene límite”, afirma el inspector Antonino Flores, de la Unidad de Ciberdelitos de la Policía Nacional.
En España, el Instituto Nacional de Ciberseguridad (INCIBE) atendió el año pasado más de 21.500 casos de ‘phishing’ a ciudadanos.
“El objetivo es siempre lucrativo, es lo que mantiene vivos a los delincuentes, si no ganaran dinero no se dedicarían a ello”, explica Nuria Manzanas, experta en ciberseguridad de la DGT.
Delincuencia organizada
Los especialistas en materia de seguridad informática confirman que los cibercriminales actúan como auténticas industrias:
“Tienen sus propias estructuras, personal especializado y presencia en todos los países del mundo. Hablamos de delincuencia organizada”, indica Flores.
“Lanzan oleadas de ataques en momentos clave para lograr el mayor éxito, están optimizados para generar el mayor beneficio con el menor gasto, siempre con el objetivo final: sacarle el dinero al ciudadano”, aseguran desde el Departamento de Seguridad Informática de la DGT.
En desventaja
Además, su modus operandi es cada vez más refinado y mucho más ágil que el de la Administración, sujeta a plazos, presupuestos y normativas:
“Jugamos en continua desventaja. La dificultad para luchar contra todo esto es enorme, el cibercrimen evoluciona tres veces más rápido. Y tampoco sabemos de dónde son estos criminales, su éxito se basa en el anonimato. Luchamos contra fantasmas”, explican los expertos en ciberseguridad de la DGT, que en los últimos cinco años han tenido constancia de más de 830 intentos de ‘phishing’ mediante la suplantación de la DGT y en lo que llevamos de 2025 han solicitado la cancelación de 195 webs falsas.
“Contactamos con el centro criptológico para que tiren abajo las URL dañinas, así damos menos tiempo a los atacantes. Pero por cada página web maliciosa deshabilitada salen varias nuevas”, explican.
Más concienciación
Para evitar este tipo de fraudes, los especialistas destacan la importancia de estar bien informados acerca de los riesgos en Internet y reclaman más campañas de concienciación para agotar la vía de financiación de los ciberdelincuentes.
“Entre ciudadanos y legisladores tenemos que ponerle coto. Todos somos parte y nadie puede mirar para otro lado”, afirma Antonino Flores.
“Es necesario más conocimiento para que no nos engañen, en general hay muy poca concienciación. Si sigue habiendo usuarios que pican, es porque el método de los delincuentes es efectivo”, explica Nuria Manzanas, que añade: “Cada vez que caemos en una de sus trampas, indirectamente estamos financiando a los cibercriminales”.
El Instituto Nacional de Ciberseguridad (INCIBE), organismo responsable del desarrollo de la ciberseguridad en España, ha detectado sucesivas campañas fraudulentas de ‘phishing’ que implican a la Dirección General de Tráfico.
Así explica en su web el modus operandi de esta estafa: “A través de envíos masivos de correos electrónicos y mensajes de texto suplantando a la DGT, los atacantes informan a las víctimas sobre una presunta multa de tráfico pendiente y les instan a efectuar un pago con urgencia”.
Los mensajes incluyen enlaces a páginas fraudulentas. Al pinchar en esos enlaces, los usuarios son redirigidos a páginas web -imitando la oficial de la DGT- donde se les solicitan datos personales y de su tarjeta de crédito para poder realizar el pago. Una vez la víctima ha facilitado la información requerida, los ciberdelincuentes acceden inmediatamente a los fondos en su cuenta bancaria on line.
Si ha recibido uno de estos SMS o correos electrónicos falsos en nombre de la DGT y no ha accedido al enlace, el INCIBE recomienda denunciarlo en su buzón de denuncias.“De este modo, podremos difundir el fraude y ayudar a evitar que otros usuarios sean víctimas del engaño”, explica el organismo, que aconseja también bloquear al remitente para reducir cualquier riesgo posible.
Por el contrario, si ha accedido al enlace y proporcionado los datos personales y bancarios que le han solicitado, el INCIBE aconseja seguir los siguientes pasos de forma inmediata:
• Informe a su banco para que le indiquen las medidas necesarias para proteger la cuenta bancaria.
• Guarde las evidencias posibles del proceso, incluyendo capturas de pantalla, mensajes y enlaces recibidos. Para darles mayor validez, puede usar el servicio de testigos on line.
• Denuncie la estafa a la Policía Nacional o a la Guardia Civil (de forma presencial o a través de sus canales on line), presentando las pruebas recopiladas.
Puede asesorarse en la Línea de Ayuda en Ciberseguridad del INCIBE (017). Y en caso de duda sobre la autenticidad de una notificación, recuerde que la DGT sólo comunica sus sanciones a través de correo postal y de la Dirección Electrónica Vial, el servicio de notificaciones electrónicas. Además, puede consultar el Tablón Edictal de Sanciones (TESTRA/TEU) para saber si tiene multas pendientes.
Ha sido el intento de estafa del verano pasado: la multa falsa de la DGT en el parabrisas. A primera vista, estas notificaciones (como las de la imagen) imitan los formatos oficiales de forma convincente.
Pero observándola más detenidamente, encontramos errores evidentes que la delatan. Los identificamos:
1. Código QR
El gran código QR es la señal más reveladora de fraude y la que debe ponernos en alerta: ninguna comunicación de sanción de la DGT contiene códigos QR, ni enlaces ni vínculos a webs para realizar el pago. Si lo leemos con nuestro móvil, nos abrirá un enlace a una web dañina.
2. Fechas
El plazo concedido para el pago con descuento (9 días) también delata la falsedad de la notificación (el reglamentario legal es de 20 días naturales desde la notificación). Además, meter prisa para un pago inmediato y no dar tiempo para reflexionar a la víctima es otra de las estrategias habituales.
3. Hecho denunciado y artículo no coinciden
Como hecho denunciado se recoge un estacionamiento indebido, que no está regocido en el artículo 52 del Reglamento General de Circulación, como aparece en la parte superior del documento.
4. Faltas de ortografía
El propio texto de la denuncia también revela la falsedad de la notificación. Errores ortográficos como “Jefajura” junto al escudo o “Derección” en el encabezado nunca aparecerían en una comunicación oficial de la DGT.
5. Estructura
La notificación falsa está bien conseguida porque copia la estructura de los formularios oficiales, aunque no incluye apartados fundamentales en la tramitación de una denuncia como los datos del vehículo infractor y número de identificación del agente.
6. Pruebas de la infracción
Otra de las evidencias de falsedad es la falta de pruebas de la infracción ya que, en el caso de las sanciones por exceso de velocidad, todas las notificaciones de la DGT adjuntan la correspondiente prueba fotográfica de la infracción e identificación del vehículo infractor.
Los expertos en ciberseguridad insisten en que tener buena información es clave para no ser víctima de una estafa on line y nos dan las cuatro claves para detectar un intento de estafa y no picar el anzuelo:
1. Plazos cortos
Deben ser el primer motivo de desconfianza. Un correo o un mensaje al móvil que apremie a hacer algo será, con toda probabilidad, un intento de estafa. El motivo es que los atacantes saben que sus campañas de ‘phishing’ se diluyen con el tiempo y necesitan obtener el máximo número de capturas en el menor tiempo posible.
2. Amenazas
“Si no lo haces, te verás perjudicado” es una frase habitual en estas comunicaciones fraudulentas. El atacante intimida a sus víctimas amenazándolas con consecuencias negativas o penalizaciones (por supuesto ficticias) en caso de ignorar sus instrucciones.
3. Recompensa
Los atacantes ofrecen a su víctima una recompensa (también ficticia) como descuentos, abonos o compensaciones de gastos por hacer lo que se le pide.
“El atacante busca por todos los medios manipular al usuario y conseguir su objetivo (distribuir malware, capturar datos, etc.). Este tipo de manipulación hace que el usuario se sienta más cómodo y que se autojustifique de que hace lo correcto”, apuntan los especialistas.
4. Demasiado fácil
En las compraventas entre particulares, los cibercriminales se hacen pasar tanto por compradores como por vendedores. En estas operaciones, precios demasiado bajos y excesiva rapidez y facilidad en las condiciones deben ser signos de alerta.
“Cuidado con establecer contacto a través de correos particulares o aplicaciones de mensajería instantánea. Estará desprotegido”, advierten los expertos.
Fuente: Equipo de Ciberseguridad DGT/Unidad Ciberdelitos Policía Nacional
Las formas de ‘phishing’ pueden ser muy variadas en función del objetivo. Estos son cinco buenos hábitos para no caer en la trampa:
1. Un ‘phishing’ avanzado intenta suplantar una identidad imitándola, por lo que no debemos confiarnos por el aspecto de un correo, un SMS o una web. Lea con atención el correo o el mensaje y bórrelo de inmediato si le resulta sospechoso.
2. Desconfíe de los mensajes de texto, de mensajería instantánea y correos electrónicos de remitentes no identificados.
3. Nunca haga clic en enlaces sospechosos ni abra archivos adjuntos de remitentes desconocidos. Sobre estos últimos, es importante saber que si abrimos adjuntos con doble extensión oculta (por ejemplo, .pdf, .exe) estamos poniendo en peligro nuestro dispositivo.
4. Cuidado al rellenar formularios en páginas web, especialmente las que solicitan contraseñas, datos bancarios y cualquier otra información personal.
5. Compruebe la veracidad de la información recibida -multa de tráfico- en fuentes oficiales –sede electrónica de la DGT– antes de enviar cualquier tipo de información a terceros.
Fuente: Departamento de Ciberseguridad de la DGT
No Comments