Red flags

No piques con este correo: la nueva estafa que suplanta a entidades públicas y exige más de 5.000 euros

Imagen generada por IA
Colaborador Ja.
13 de abril de 2026 (09:56 h.)
Etiquetas
estafa

El correo llega con logos oficiales, tono solemne y una redacción que parece sacada de un expediente. Te informa de una supuesta investigación por “delito informático” y deja caer consecuencias graves para ti o tu empresa. Y, acto seguido, ofrece una salida: pagar más de 5.000 euros para “cerrar el asunto”.
Tech & Law lo resume de forma seca: no es una comunicación oficial, es una trampa. El mecanismo es viejo —urgencia, miedo, autoridad—, pero el envoltorio está cada vez más pulido.
Lo preocupante no es solo el pago: es que, si respondes, confirmas que tu correo está activo, abres un canal con el estafador y te conviertes en objetivo recurrente. El primer daño es económico. El segundo, reputacional. El tercero, psicológico. Y todos empiezan con un clic.

La ingeniería del miedo: cómo te meten en un “expediente” en 30 segundos

Esta estafa no busca que entiendas el mensaje. Busca que te bloquees. El correo simula ser de un organismo público o una entidad oficial, utiliza jerga legal (“investigación”, “procedimiento”, “responsabilidad”, “diligencias”) y coloca al lector en una posición defensiva: “tienes un problema y lo sabemos”. A partir de ahí, introduce el detonante: una vía para resolverlo pagando una cantidad elevada —en el relato de Tech & Law, más de 5.000 euros— y un plazo implícito o explícito para actuar.

El patrón es el de siempre: autoridad + urgencia + vergüenza. Autoridad, porque parece venir de “quien manda”. Urgencia, porque te empuja a contestar rápido. Vergüenza, porque sugiere un delito “informático” que podría mancharte. En ese cóctel, el cerebro busca salida, no pruebas.

Lo más grave es que funciona especialmente bien en empresas pequeñas: un autónomo o una pyme sin departamento legal tiende a pensar “y si fuera verdad”. Y ahí se abre la puerta al pago, al robo de datos o a una extorsión escalonada.

Señales rojas: lo que una comunicación oficial no hace nunca

Tech & Law lo explica con una lógica aplastante: una comunicación oficial real no opera como un chantaje de correo. No te presiona con un “paga ya” ni te pide que resuelvas un “procedimiento” por email como si fuera una suscripción. Y, sobre todo, no suele enviarse desde cuentas genéricas o incongruentes con el organismo que dice representar.

Hay señales rojas repetidas en esta campaña:

  • Urgencia artificial: “último aviso”, “24 horas”, “respuesta inmediata”.
  • Amenazas desproporcionadas: consecuencias “muy graves” sin detalles verificables ni número de expediente real.
  • Remitente sospechoso: direcciones raras, dominios que no cuadran o incluso cuentas estilo Gmail.
  • Pago como solución: nadie “archiva” un delito con un bizum o una transferencia improvisada.
  • Tono jurídico inflado: frases largas, solemnes, con errores sutiles y demasiada teatralidad.

El objetivo es que no mires lo más importante: la verificación externa. Porque si verificas, se cae.

La trampa del “responde y lo arreglamos”: por qué contestar empeora todo

El error habitual no es pagar a la primera. Es contestar. El estafador necesita dos cosas: confirmar que el buzón existe y engancharte en un diálogo donde pueda modular presión y precio. Una respuesta —aunque sea para insultar, preguntar o “pedir pruebas”— ya es una victoria.

A partir de ahí, la estafa se puede sofisticar: te piden datos “para identificarte”, te solicitan documentos, te envían un falso “acuerdo de cierre”, o te derivan a un supuesto agente que “lo solucionará” si transfieres el importe. En muchos casos, el pago no es el final: es el inicio. Si pagas una vez, te clasifican como víctima “pagadora” y pueden volver con una segunda exigencia: “costas”, “tasa”, “regularización”.

Además, existe riesgo corporativo: un empleado asustado puede reenviar el correo internamente, abrir adjuntos o facilitar información sensible. La estafa se convierte entonces en puerta de entrada a fraudes mayores: suplantación de identidad, acceso a cuentas, o ataques de compromiso de correo (BEC).

La regla es simple: no respondas, no negocies, no pagues.

Empresas: el coste real va más allá del dinero

El estafador sabe que una empresa tiene más que perder que un particular. Por eso el mensaje suele introducir amenazas reputacionales (“investigación”, “delito”) que asustan al gerente, a RRHH o a un director financiero. El pago de 5.000 euros no se plantea como “compra”, sino como “control de daños”.

En una pyme, el riesgo es doble. Primero, el daño económico directo: una transferencia inmediata que sale sin doble validación. Segundo, el daño operativo: miedo interno, pérdida de tiempo, bloqueo de decisiones, llamadas cruzadas. Y tercero, el daño reputacional: si alguien cae, la empresa puede quedar marcada en listas de objetivos para campañas posteriores.

La estafa funciona porque explota una debilidad habitual: procedimientos de pago sin “dos firmas”. Bastan dos medidas para frenar la mayoría de casos:

  1. cualquier pago extraordinario requiere validación por un segundo responsable;
  2. cualquier “notificación oficial” se verifica por canal alternativo (teléfono oficial, sede electrónica, web del organismo).

Lo que se compra con estas reglas es calma. Y la calma es el antídoto del fraude.

Qué hacer si lo recibes: protocolo de 5 pasos que evita el desastre

La recomendación de Tech & Law es la correcta: si tienes dudas, verifica siempre desde el sitio web oficial del supuesto organismo, no desde el correo. Para convertirlo en hábito, conviene un protocolo claro:

  1. No respondas y no abras adjuntos ni enlaces.
  2. Captura el remitente completo y el encabezado si puedes (para IT o tu proveedor).
  3. Comprueba el organismo por tu cuenta: entra tú a su web oficial, busca teléfonos y canales de contacto, y pregunta por el supuesto expediente.
  4. Reporta: en empresa, a IT/seguridad; como particular, marca como phishing y denuncia si hay perjuicio económico.
  5. Refuerza: cambia contraseñas si has interactuado, activa doble factor y revisa reglas de reenvío en el correo (una técnica clásica tras fraudes).

Si el dinero ya ha salido, el tiempo importa: cuanto antes contactes con tu banco, más opciones hay de bloquear o rastrear la transferencia.

Por qué se está extendiendo: la estafa perfecta para 2026

Este tipo de campañas crece porque combina tres ventajas para el atacante: coste casi cero, volumen masivo y alta eficacia psicológica. Con una plantilla bien escrita y logos convincentes, pueden enviar miles de correos en horas. Y con que caiga un 0,5%, el negocio ya es rentable.

Además, la digitalización juega a su favor: todo el mundo está acostumbrado a notificaciones online, avisos, verificaciones y “procedimientos”. El fraude se disfraza de burocracia. Y la burocracia, por definición, intimida.

El mensaje de Tech & Law acierta en el centro: no se trata de vivir con miedo, sino de entender el impacto de tus clics. La seguridad no es saber mucho; es verificar siempre. Cuando una comunicación te exige urgencia, lo más probable es que no quiera resolver un delito: quiere fabricar uno nuevo.

Etiquetas
estafa