Ciberestafa: suplantan a la Guardia Civil y Europol con la 'Operación Endgame'

Una amenaza de ciberdelincuencia de gran alcance. Esta ha sido la advertencia que ha lanzado la Benemérita, también a los vecinos de Ceuta, tras la detección de una campaña de correos electrónicos fraudulentos que suplantan a la Guardia Civil y a Europol con una supuesta implicación en ciberdelitos internacionales.

El aviso se activó el pasado 18 de marzo, al conocerse el envío masivo de correos electrónicos fraudulentos que utilizan la imagen corporativa de la Dirección General de la Guardia Civil y del Centro Europeo de Cibercriminalidad (Europol).

Este fraude, catalogado como un ataque de phishing de alta peligrosidad, busca manipular la psicología del usuario para obtener beneficios económicos ilícitos.

El gancho del fraude: la falsa 'Operación Endgame'

De acuerdo con la información proporcionada por el Instituto Nacional de Ciberseguridad, los delincuentes han diseñado una estrategia basada en el miedo y la presión institucional.

Los correos electrónicos suelen llegar con un asunto alarmante como ‘CONVOCATORIA’ o términos similares, instando al receptor a abrir un archivo adjunto en formato PDF. Este documento suele estar nombrado como ‘NOTIFICACION_EXP_217-124 (1).pdf’.

Lo que hace especialmente peligrosa a esta campaña es su gran complejidad visual. Y es que el PDF adjunto mezcla elementos reales de las fuerzas de seguridad —como logotipos oficiales, firmas y sellos— con información ficticia.

El objetivo es crear una apariencia de legitimidad que confunda incluso a los usuarios más precavidos, utilizando tecnicismos y un lenguaje de alta presión legal para asustar al destinatario con una supuesta implicación en delitos internacionales de carácter grave.

¿Qué buscan realmente los estafadores?

El objetivo de los atacantes es la captación de datos sensibles. Quieren iniciar un hilo de conversación con la víctima para que esta, en un estado de nerviosismo, acabe facilitando datos personales y bancarios.

Asimismo, buscan la Extorsión económica. Utilizan la supuesta "implicación en ciberdelitos" como una herramienta de chantaje, sugiriendo que el usuario debe realizar algún tipo de pago o transferencia para "solucionar" su situación legal o evitar acciones penales mayores.

Cómo distinguir una notificación real de una estafa

El Incibe explica que es fundamental que la ciudadanía comprenda los protocolos de actuación de las Fuerzas y Cuerpos de Seguridad del Estado. La administración pública cuenta con canales oficiales y nunca utiliza métodos informales para asuntos de extrema gravedad.

Para identificar este fraude, el Instituto Nacional de Ciberseguridad recuerda lo siguiente:

• Notificaciones oficiales. La Guardia Civil y la Policía Nacional nunca notificarán cargos penales graves ni órdenes de detención de forma exclusiva a través de un correo electrónico genérico. Estos trámites se realizan siempre de manera presencial o mediante correo certificado
• Verificación externa. Antes de interactuar con cualquier archivo o enlace, verifica la información a través de la web oficial de la Guardia Civil o la Sede Electrónica de la Policía
• Dominios de correo. La administración utiliza plataformas seguras y correos corporativos oficiales. Desconfía plenamente si la dirección de contacto que aparece en el PDF pertenece a dominios gratuitos como Gmail, Outlook o Yahoo, ya que ninguna entidad pública los usa para gestiones oficiales.

Protocolo de actuación

Si has recibido el mensaje pero no has abierto el archivo ni respondido, la solución es sencilla: elimínalo inmediatamente de tu bandeja de entrada.

Sin embargo, si ya has interactuado con el fraude o has facilitado información a través de la dirección indicada en el PDF, es vital seguir estas pautas de seguridad recomendadas por el Incibe:

1. Contacta con las autoridades. Denuncia los hechos aportando todas las pruebas posibles (capturas del correo y del PDF).
2. Avisar a tu banco. Si compartiste datos de tarjetas o cuentas, solicita el bloqueo inmediato para evitar cargos no autorizados.
3. Vigilancia digital. Realiza búsquedas de tu nombre en internet (egosurfing) periódicamente para comprobar si tus datos están siendo utilizados de forma ilícita.

Ante la duda, la mejor defensa es la prevención y el escepticismo. Ninguna autoridad legítima te presionará por correo electrónico para que realices pagos rápidos o entregues tus claves bancarias bajo amenaza.