La Oficina de Seguridad del Internauta (OSI) ha alertado de una campaña que suplanta a la Policía Nacional a través del envío de correos electrónicos fraudulentos que instan al usuario a descargar y ejecutar un archivo, utilizando como excusa un supuesto informe policial.

En este mensaje se pide pinchar sobre un enlace malicioso para descargar una citación para comparecer como testigo en una audiencia que se celebrará en un día determinado. En realidad lo que se descarga es un archivo con contenido malicioso con el objetivo de distribuir e infectar el equipo con un malware llamado Mekotio.

Se han detectado correos que llevan como asunto "informe policial emitido" y enviados desde direcciones diferentes con el encabezado de "Policía Nacional". Hay algunos indicios que hacen sospechar que se trata de un correo fraudulento. Por ejemplo, en estos casos, no hay ningún tipo de logo oficial y los dominios de dichos correos no tienen relación con los usados por la Policía Nacional.

¿Cómo solucionarlo?

En caso de que hayas recibido un correo electrónico que parece ser de la Policía Nacional, citándote como testigo en una supuesta audiencia, pero no has interactuado con el enlace ni has descargado el archivo que viene adjunto, clasifícalo como spam y bórralo de tu bandeja de entrada.

Por otro lado, si has descargado el archivo, pero no lo has ejecutado, es importante que lo elimines de tu carpeta de descargas y de la papelera de reciclaje.

En cambio, si has descargado y ejecutado el archivo para obtener información sobre la supuesta citación, es recomendable que realices los siguientes pasos:

Desconecta el equipo que haya podido verse comprometido de la red doméstica para prevenir la propagación del malware a otros dispositivos. Mantén actualizado el antivirus y efectúa un escaneo total del sistema para asegurarte de que se encuentra fuera de peligro. Si crees que el dispositivo puede continuar infectado, debes plantearte restablecerlo a su configuración de fábrica para desinfectarlo.

Ten en cuenta que este proceso eliminará todos los datos que tengas guardados, por lo que se recomienda realizar copias de seguridad de forma regular. Toma capturas de pantalla del email y de los archivos adjuntos para usarlas como evidencias en caso de que presentes una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.

Puedes recurrir a testigos online para validar el contenido de dichas pruebas. Siempre puedes comprobar que se trata de una comunicación oficial a través de la plataforma de la Policía Nacional o llamar al teléfono 017 de INCIBE para obtener consejos de expertos en ciberseguridad.

Cómo es la técnica en este caso

Esta campaña utiliza la excusa de una citación para asistir como testigo en la audiencia que se celebrará en una fecha cercana a la recepción del comunicado. Dicho correo invita al usuario a descargar la citación a través de un enlace, el cual contiene el archivo malicioso que al descargarlo ejecutará un malware en el dispositivo.

Se han detectado correos con asuntos como: "INFORME POLICIAL EMITIDO" y direcciones de origen con similar estructura de dominio, donde XXXX son números aleatorios: "POLICIA NACIONAL" <intimacionesXXXXX@fastinse.from-fl.com> "POLICIA NACIONAL" <intimacionesXXXXX@fastinse.from-in.com> "POLICIA NACIONAL" <intimacionesXXXXX@fastinse.from-id.com>.

No se descarta que puedan llegar a utilizar otros asuntos y direcciones distintas, con lo cual se debe extremar la precaución si se recibe algún correo o comunicación similar. Hay algunos indicios que nos pueden hacer sospechar que se trata de un correo fraudulento, por ejemplo, en el caso de estos, podemos fijarnos en que el contenido del correo es muy simple, sin ningún tipo de logo oficial. Además, los dominios de dichos correos no tienen relación con los usados por la Policía Nacional. 

Captura de uno de los correos