Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
¡Recuerda!
CONTENIDOS
Alerta prioritaria
- La Agencia Tributaria nunca solicita datos bancarios, contraseñas ni códigos de verificación por correo electrónico ni por SMS.
- Si recibes una comunicación de Hacienda y tienes dudas sobre su legitimidad, accede directamente a tu área personal en sede.agenciatributaria.gob.es para comprobar si existe realmente.
- La urgencia es la herramienta favorita del fraude. Si el mensaje mete prisa, para y verifica.
Alerta prioritaria
¡Cuidado con el cebo de la Renta! Los ciberdelincuentes también hacen la declaración
Aviso especial
La declaración de la renta desata una de las oleadas de fraude más intensas del año. Los ciberdelincuentes aprovechan las comunicaciones de la Agencia Tributaria para lanzar ataques de phishing, smishing y vishing. Estas son las amenazas activas este mes.
Tema del mes
Guía rápida
- El correo de "nueva notificación electrónica". Mensajes que imitan con total fidelidad las comunicaciones electrónicas a de la AEAT. El asunto suele ser del tipo "Aviso: puesta a disposición de notificación electrónica REF-XXXX" e incluye el logo oficial y un tono administrativo impecable. El enlace, sin embargo, redirige a una web clonada diseñada para robar tus credenciales. Gracias a la inteligencia artificial, estos correos ya no contienen errores ortográficos ni diseños toscos que los delaten.
- El SMS del "reembolso pendiente". Un mensaje breve, con un importe concreto y un enlace acortado para "tramitar la devolución". El gancho funciona porque la víctima ya espera ese dinero. La Agencia Tributaria nunca comunica devoluciones mediante SMS con enlaces: si recibes uno, es una trampa.
- La llamada del "agente de Hacienda". Supuestos funcionarios que alertan de incidencias en tu declaración o solicitan confirmar datos personales. Con herramientas de clonación de voz por IA, estas llamadas son cada vez más difíciles de distinguir de las reales. Recuerda: la AEAT solo contacta telefónicamente si tú has solicitado cita previa. Si no la pediste, cuelga.
- Webs clonadas y quishing tributario. Páginas prácticamente idénticas a sede.agenciatributaria.gob.es con dominios ligeramente alterados (agencia-tributaria.net, hacienda-online.es...) y, cada vez más, códigos QR en cartas físicas con membrete oficial que redirigen a formularios de captura de credenciales. Un QR no muestra su destino real hasta que lo escaneas. ¡Asegúrate antes de que es verídico!
Radar de amenazas
Normativa al día
Zona interactiva
¿Qué debes hacer?
Canal directo
- Accede a la AEAT escribiendo siempre la URL en el navegador. Nunca desde un enlace recibido por correo, SMS o QR.
- Comprueba el dominio del remitente antes de actuar. El nombre visible puede ser "Agencia Tributaria", pero la dirección real nunca termina en @agenciatributaria.gob.es si es fraudulenta.
- Si has introducido tus datos en una página falsa, cambia tus credenciales de inmediato y contacta con tu banco sin demora.
- Reporta al SOC cualquier correo o SMS sospechoso recibido en tu cuenta corporativa, aunque no hayas hecho clic.
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
Ciberataques mediante códigos QR
CONTENIDOS
Alerta prioritaria
Aviso especial
Tema del mes
Queremos informarte de la detección de un nuevo caso de quishing dirigido a todo el personal de la Junta de Andalucía, mediante correos electrónicos que incluyen códigos QR con fines fraudulentos. Información relevante:
- No se ha establecido ningún protocolo de seguridad que obligue a validar la identidad para evitar bloqueos temporales de tu cuenta.
- Nunca se solicita, por correo electrónico, la verificación de usuario y contraseña escaneando un código QR con tu dispositivo móvil. Cualquier correo con estas características no es legítimo.
Cómo actuar ante este tipo de correos:
- No escanees el código QR.
- No facilites tus credenciales.
- Reenvía el correo como fichero adjunto a la dirección abuse@juntadeandalucia.es.
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Tema del mes
La trampa tiene cuatro pasos, y solo necesita que falles en uno
- Todo ataque de phishing, independientemente de su sofisticación, sigue la misma lógica: crear una situación creíble que te lleve a hacer algo que no deberías. El disfraz cambia; el proceso, no.
- Primero llega el anzuelo: un correo, un SMS o una llamada que imita a una entidad de confianza. Puede ser la Agencia Tributaria con una notificación pendiente, tu banco alertando de un acceso sospechoso, o Correos avisando de un paquete retenido. El mensaje está diseñado para parecer urgente y completamente legítimo.
- Después, la urgencia: "tienes 24 horas", "tu cuenta será bloqueada", "actúa antes de que caduque el plazo". La presión temporal no es accidental: busca que actúes antes de que tu criterio tenga tiempo de intervenir. Un segundo de duda es suficiente para detectar la trampa; el phishing intenta eliminar ese segundo.
- El tercer paso es el clic: un enlace que lleva a una web falsa, un adjunto que instala malware al abrirse.
- A partir de ahí, la captura: introduces tus credenciales creyendo que estás en el sitio correcto, o el archivo descargado extrae en segundo plano todo lo que tiene tu equipo. El daño puede tardar días en hacerse visible, pero ya está hecho.
Alerta prioritaria
Phishing: el anzuelo que puede pillar hasta al más atento
Aviso especial
El phishing lleva años siendo el ciberataque más frecuente en España y en el mundo. No porque los usuarios sean descuidados, sino porque los atacantes son cada vez mejores. Según el INCIBE, en 2025 el phishing lideró los fraudes online con más de 25.000 casos, y en lo que va de 2026 la cifra sigue al alza. Entender cómo funciona es la primera línea de defensa.
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Ya no puedes detectarlo por los errores: qué ha cambiado
Zona interactiva
Canal directo
Durante años, la regla era sencilla: los correos de phishing tenían faltas de ortografía, diseños pobres y saludos genéricos. Esa regla ha muerto. La inteligencia artificial permite hoy generar mensajes perfectamente redactados, con el tono y el vocabulario exacto de la entidad imitada, y personalizados con datos reales del destinatario obtenidos de brechas anteriores. Un correo puede llegar con tu nombre, tu NIF y una referencia que parece sacada de tus propios expedientes, y ser completamente falso. Esto no significa que no puedas detectarlo. Significa que ya no puedes fiarte del contenido para hacerlo. Los indicadores que siguen siendo válidos son otros: el dominio real del remitente —no el nombre visible, sino la dirección completa—, la URL a la que apunta el enlace antes de hacer clic, y sobre todo, el canal: ¿es este realmente el medio por el que esta entidad te contacta para este tipo de gestión?
SIGUE >>
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
Checklist: "¿Detectarías el anzuelo?
<< VIENE DE LA ANTERIOR
CONTENIDOS
- ¿Compruebas siempre el dominio real del remitente antes de actuar sobre un correo?
- ¿Sabes cómo ver la URL de destino de un enlace antes de hacer clic en él?
- ¿Accedes a los sitios web escribiendo siempre la dirección o mediante acceso en Favoritos?
- ¿Sabrías qué hacer si hubieses hecho clic en un enlace sospechoso sin darte cuenta?
- ¿Reportarías al SOC un correo sospechoso aunque no hubieras interactuado con él?
- ¿Conoces la diferencia entre phishing, smishing, vishing y quishing?
Si tu respuesta a alguna de estas preguntas es "no", tu exposición al phishing es mayor de lo que crees:
Cuatro formas de llegar al mismo destino
Alerta prioritaria
Aviso especial
El phishing no es un único tipo de ataque, sino una familia de técnicas que comparten objetivo pero usan canales distintos. Conocerlas todas es importante porque cada una activa mecanismos de confianza diferentes.
Tema del mes
- El email phishing es el más extendido. Su variante más peligrosa, el spear phishing, usa información real sobre la víctima para parecer legítimo.
- El smishing llega por SMS con enlaces que ocultan su destino real.
- El vishing usa llamadas de voz —cada vez más convincentes gracias a la clonación por IA— para solicitar datos o acciones urgentes.
- El quishing usa códigos QR que ocultan la URL maliciosa hasta que ya es demasiado tarde para rectificar.
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
Hábitos de oro para no picar
- Verifica el dominio real, no el nombre visible. Haz clic en el remitente y comprueba la dirección completa para asegurarte de que el dominio (después de la @) es el auténtico de la entidad que te escribe
- Pasa el cursor por el enlace antes de hacer clic. Así puedes comprobar que la URL que aparece en la barra inferior del navegador es la real. Si no coincide con lo esperado, no hagas clic.
- Ante la urgencia, más calma. Cuanto más te metan prisa, más despacio debes ir.
- Ante la duda, escribe tú la URL. Abre el navegador y accede directamente al sitio oficial. Nunca desde el enlace del mensaje.
- Reporta aunque no hayas caído. Un correo sospechoso reportado al SOC puede bloquear la campaña y proteger a toda la organización.
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Guía rápida
Alerta prioritaria
Ciberseguridad en el día a día: preguntas frecuentes
Aviso especial
→ ¿Puedo usar ChatGPT u otras herramientas de IA para redactar documentos de trabajo?
Depende. Comprueba antes si está autorizada por tu organización. Muchas envían los textos a servidores externos; con datos sensibles, puede ser una filtración
Tema del mes
Guía rápida
Radar de amenazas
→ ¿Puedo introducir en una IA externa datos personales o confidenciales de terceros, proyectos, etc.?
No. Como norma general, si no lo publicarías en abierto tampoco debes introducirlo en una herramienta de IA no controlada por la organización.
Normativa al día
Zona interactiva
Canal directo
→ ¿Son siempre fiables las respuestas que genera una IA?
No. Los modelos cometen errores e inventan referencias con total convicción. Verifica siempre en fuentes oficiales, y comprueba lo generado, antes de usar el resultado en un documento de trabajo.
→ ¿Puede la IA ser usada para atacarme a mí o a mi organización?
Si. Los atacantes ya la usan para generar phishing sin errores, clonar voces de directivos y personalizar fraudes a escala. No es solo una herramienta de productividad.
→ ¿Debo avisar si he usado una herramienta de IA no autorizada por error?
Sí. Especialmente si introdujiste información sensible. Notifícalo al SOC cuanto antes para evaluar el riesgo.
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
El troyano bancario Casbaneiro usa falsas notificaciones judiciales para atacar a víctimas en España
CONTENIDOS
Radar de amenazas
Alerta prioritaria
Este malware llega disfrazado de citaciones o requerimientos judiciales enviados por correo. Una vez ejecutado, roba credenciales de acceso a banca online y servicios digitales. Ante cualquier comunicación judicial inesperada, verifícala a través de los canales oficiales antes de abrir ningún archivo adjunto.
El panorama de la ciberseguridad evoluciona rápido y debemos estar informados. Compartimos algunas noticias destacadas de este mes.
Aviso especial
Tema del mes
Campaña de la Renta 2026: cuidado con correos y SMS que suplantan a la Agencia Tributaria
> Enlace a la noticia
Guía rápida
Con el inicio de la campaña del IRPF, ESET alerta de un repunte de fraudes que imitan comunicaciones oficiales de la AEAT. Los mensajes incluyen enlaces a webs falsas donde se solicitan credenciales o datos bancarios con el pretexto de gestionar la declaración. La Agencia Tributaria no solicita datos personales ni bancarios por correo electrónico o SMS.
Radar de amenazas
Qué ocurrió realmente en la brecha de Booking.com
Normativa al día
Un análisis detalla cómo atacantes comprometieron cuentas de establecimientos asociados a la plataforma para contactar directamente con huéspedes y robar sus datos de pago. El vector de entrada fue el engaño a empleados de los hoteles, no un fallo técnico de Booking. Desconfía de mensajes de reservas que te pidan introducir datos bancarios fuera de la plataforma oficial.
Zona interactiva
Canal directo
> Enlace a la noticia
> Enlace a la noticia
Vulnerabilidad zero-day en Adobe Acrobat Reader explotada mediante PDFs maliciosos
Se ha detectado una campaña activa que aprovecha un fallo de seguridad crítico en Adobe Acrobat Reader para infectar equipos con la simple apertura de un PDF manipulado. La vulnerabilidad permitiría el robo de información y la ejecución remota de código. Mantén el programa actualizado a la última versión disponible.
> Enlace a la noticia
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Normativa al día
Alerta prioritaria
Debemos hacer un buen uso de las tecnologías de la información y la comunicación en nuestros puestos de trabajo. Te recordamos varios puntos importantes.
Aviso especial
Tema del mes
Guía rápida
Radar de amenazas
Al finalizar el uso de una aplicación, usa siempre las opciones de «desconexión» o «cerrar sesión». Cerrar la ventana del navegador no equivale a cerrar la sesión.
Con carácter general, estos dispositivos solo están autorizados como herramienta de transporte puntual de ficheros, aplicando siempre las medidas de seguridad establecidas.
No dejes documentos con información sensible en impresoras, escáneres o sobre la mesa al final de la jornada. La información en papel también necesita custodia y destrucción adecuada.
No lo uses para registros en servicios personales ni como dirección de contacto para asuntos ajenos a tu trabajo. Cada uso indebido amplía tu exposición y la de la organización.
Revisa que todos los destinatarios son los correctos y valora usar copia oculta cuando sea necesario para no revelar datos personales de terceros de forma innecesaria.
El tratamiento de grandes volúmenes de datos o el desarrollo de modelos de inteligencia artificial conlleva obligaciones éticas y normativas específicas. Infórmate y aplícalas.
Normativa al día
Zona interactiva
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Canal directo
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Evita almacenar información de trabajo en USBs o discos portátiles
Si usas IA o participas en proyectos de datos masivos, aplica códigos éticos
El correo corporativo es solo para uso profesional
Antes de enviar, comprueba bien los destinatarios
Protege los documentos en papel igual que los digitales
Cierra la sesión al terminar, no solo la ventana
Título
Título
Título
Título
Título
Título
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Zona interactiva
Alerta prioritaria
Quiz del mes
Aviso especial
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
SIGUE >>
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
La urgencia y la comodidad son dos de las palancas más utilizadas para saltarse las normas de seguridad, aunque sea con buena intención. En este caso, la acción correcta es no utilizar esa herramienta con esos datos.
Los motivos son claros: los datos personales de ciudadanos —especialmente datos de salud y situación económica— están protegidos por el RGPD y la normativa de la Junta de Andalucía. Introducirlos en una herramienta de IA externa no homologada puede suponer una cesión de datos no autorizada, con consecuencias disciplinarias y legales graves.
Lo que debes hacer en esta situación:
No subir el expediente a ninguna herramienta externa. Aunque el resultado parezca inmediato, el riesgo es real.
Comprobar si existe una herramienta de IA corporativa autorizada para este tipo de tareas.
Si el plazo es inasumible sin ayuda, comunicárselo a tu responsable para reorganizar el trabajo, no comprometer la seguridad para cumplirlo.
Hablar con tu compañero para informarle del riesgo, especialmente si él también está usando esa herramienta con datos de expedientes.
La productividad no puede ir por delante de la protección de los datos de los ciudadanos. Ante la duda, siempre consulta con el área de informática o seguridad.
Respuesta
<< VIENE DE LA ANTERIOR
CONTENIDOS
Alerta prioritaria
Caso práctico
Aviso especial
Son las 9:15 de la mañana. Tienes que preparar una presentación para una reunión a las 12:00 y el tiempo es justo. Un compañero del departamento de al lado te escribe por el chat interno: «Oye, yo uso ChatGPT para esto y en diez minutos lo tienes. Solo tienes que pegarle el borrador del informe con los datos del expediente y te lo estructura solo. Funciona genial».
El informe que tienes que preparar incluye datos personales de varios ciudadanos: nombre, NIF, datos de salud y situación económica. La presión del tiempo es real. La herramienta parece una solución rápida y tu compañero la usa habitualmente.
¿Qué harías en esta situación?
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
Ver la respuesta
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Canal directo
Alerta prioritaria
La seguridad es una tarea compartida. Si tienes cualquier duda o sospechas de un incidente, ¡contacta con nosotros!
Aviso especial
Tema del mes
Guía rápida
Email:
Radar de amenazas
incidentes.soc@juntadeandalucia.es
Normativa al día
Teléfono:
Zona interactiva
955 060 974 360974 (corporativo)
Canal directo
Alertas de seguridad y campañas activas
> Consúltalas aquí
Síguenos en:
X: @CentroCiberAND
LinkedIn: Centro de Ciberseguridad de Andalucía
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
BoleSTIC nº23 - Abril 2026
administracion
Created on April 27, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Microlearning: Enhance Your Wellness and Reduce Stress
View
Microlearning: Teaching Innovation with AI
View
Microlearning: Design Learning Modules
View
Video: Responsible Use of Social Media and Internet
View
Mothers Days Card
View
Momentum: First Operational Steps
View
Momentum: Employee Introduction Presentation
Explore all templates
Transcript
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
¡Recuerda!
CONTENIDOS
Alerta prioritaria
Alerta prioritaria
¡Cuidado con el cebo de la Renta! Los ciberdelincuentes también hacen la declaración
Aviso especial
La declaración de la renta desata una de las oleadas de fraude más intensas del año. Los ciberdelincuentes aprovechan las comunicaciones de la Agencia Tributaria para lanzar ataques de phishing, smishing y vishing. Estas son las amenazas activas este mes.
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
¿Qué debes hacer?
Canal directo
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
Ciberataques mediante códigos QR
CONTENIDOS
Alerta prioritaria
Aviso especial
Tema del mes
Queremos informarte de la detección de un nuevo caso de quishing dirigido a todo el personal de la Junta de Andalucía, mediante correos electrónicos que incluyen códigos QR con fines fraudulentos. Información relevante:
- No se ha establecido ningún protocolo de seguridad que obligue a validar la identidad para evitar bloqueos temporales de tu cuenta.
- Nunca se solicita, por correo electrónico, la verificación de usuario y contraseña escaneando un código QR con tu dispositivo móvil. Cualquier correo con estas características no es legítimo.
Cómo actuar ante este tipo de correos:Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Tema del mes
La trampa tiene cuatro pasos, y solo necesita que falles en uno
Alerta prioritaria
Phishing: el anzuelo que puede pillar hasta al más atento
Aviso especial
El phishing lleva años siendo el ciberataque más frecuente en España y en el mundo. No porque los usuarios sean descuidados, sino porque los atacantes son cada vez mejores. Según el INCIBE, en 2025 el phishing lideró los fraudes online con más de 25.000 casos, y en lo que va de 2026 la cifra sigue al alza. Entender cómo funciona es la primera línea de defensa.
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Ya no puedes detectarlo por los errores: qué ha cambiado
Zona interactiva
Canal directo
Durante años, la regla era sencilla: los correos de phishing tenían faltas de ortografía, diseños pobres y saludos genéricos. Esa regla ha muerto. La inteligencia artificial permite hoy generar mensajes perfectamente redactados, con el tono y el vocabulario exacto de la entidad imitada, y personalizados con datos reales del destinatario obtenidos de brechas anteriores. Un correo puede llegar con tu nombre, tu NIF y una referencia que parece sacada de tus propios expedientes, y ser completamente falso. Esto no significa que no puedas detectarlo. Significa que ya no puedes fiarte del contenido para hacerlo. Los indicadores que siguen siendo válidos son otros: el dominio real del remitente —no el nombre visible, sino la dirección completa—, la URL a la que apunta el enlace antes de hacer clic, y sobre todo, el canal: ¿es este realmente el medio por el que esta entidad te contacta para este tipo de gestión?
SIGUE >>
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
Checklist: "¿Detectarías el anzuelo?
<< VIENE DE LA ANTERIOR
CONTENIDOS
Si tu respuesta a alguna de estas preguntas es "no", tu exposición al phishing es mayor de lo que crees:
Cuatro formas de llegar al mismo destino
Alerta prioritaria
Aviso especial
El phishing no es un único tipo de ataque, sino una familia de técnicas que comparten objetivo pero usan canales distintos. Conocerlas todas es importante porque cada una activa mecanismos de confianza diferentes.
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
Hábitos de oro para no picar
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Guía rápida
Alerta prioritaria
Ciberseguridad en el día a día: preguntas frecuentes
Aviso especial
→ ¿Puedo usar ChatGPT u otras herramientas de IA para redactar documentos de trabajo?
Depende. Comprueba antes si está autorizada por tu organización. Muchas envían los textos a servidores externos; con datos sensibles, puede ser una filtración
Tema del mes
Guía rápida
Radar de amenazas
→ ¿Puedo introducir en una IA externa datos personales o confidenciales de terceros, proyectos, etc.?
No. Como norma general, si no lo publicarías en abierto tampoco debes introducirlo en una herramienta de IA no controlada por la organización.
Normativa al día
Zona interactiva
Canal directo
→ ¿Son siempre fiables las respuestas que genera una IA?
No. Los modelos cometen errores e inventan referencias con total convicción. Verifica siempre en fuentes oficiales, y comprueba lo generado, antes de usar el resultado en un documento de trabajo.
→ ¿Puede la IA ser usada para atacarme a mí o a mi organización?
Si. Los atacantes ya la usan para generar phishing sin errores, clonar voces de directivos y personalizar fraudes a escala. No es solo una herramienta de productividad.
→ ¿Debo avisar si he usado una herramienta de IA no autorizada por error?
Sí. Especialmente si introdujiste información sensible. Notifícalo al SOC cuanto antes para evaluar el riesgo.
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
El troyano bancario Casbaneiro usa falsas notificaciones judiciales para atacar a víctimas en España
CONTENIDOS
Radar de amenazas
Alerta prioritaria
Este malware llega disfrazado de citaciones o requerimientos judiciales enviados por correo. Una vez ejecutado, roba credenciales de acceso a banca online y servicios digitales. Ante cualquier comunicación judicial inesperada, verifícala a través de los canales oficiales antes de abrir ningún archivo adjunto.
El panorama de la ciberseguridad evoluciona rápido y debemos estar informados. Compartimos algunas noticias destacadas de este mes.
Aviso especial
Tema del mes
Campaña de la Renta 2026: cuidado con correos y SMS que suplantan a la Agencia Tributaria
> Enlace a la noticia
Guía rápida
Con el inicio de la campaña del IRPF, ESET alerta de un repunte de fraudes que imitan comunicaciones oficiales de la AEAT. Los mensajes incluyen enlaces a webs falsas donde se solicitan credenciales o datos bancarios con el pretexto de gestionar la declaración. La Agencia Tributaria no solicita datos personales ni bancarios por correo electrónico o SMS.
Radar de amenazas
Qué ocurrió realmente en la brecha de Booking.com
Normativa al día
Un análisis detalla cómo atacantes comprometieron cuentas de establecimientos asociados a la plataforma para contactar directamente con huéspedes y robar sus datos de pago. El vector de entrada fue el engaño a empleados de los hoteles, no un fallo técnico de Booking. Desconfía de mensajes de reservas que te pidan introducir datos bancarios fuera de la plataforma oficial.
Zona interactiva
Canal directo
> Enlace a la noticia
> Enlace a la noticia
Vulnerabilidad zero-day en Adobe Acrobat Reader explotada mediante PDFs maliciosos
Se ha detectado una campaña activa que aprovecha un fallo de seguridad crítico en Adobe Acrobat Reader para infectar equipos con la simple apertura de un PDF manipulado. La vulnerabilidad permitiría el robo de información y la ejecución remota de código. Mantén el programa actualizado a la última versión disponible.
> Enlace a la noticia
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Normativa al día
Alerta prioritaria
Debemos hacer un buen uso de las tecnologías de la información y la comunicación en nuestros puestos de trabajo. Te recordamos varios puntos importantes.
Aviso especial
Tema del mes
Guía rápida
Radar de amenazas
Al finalizar el uso de una aplicación, usa siempre las opciones de «desconexión» o «cerrar sesión». Cerrar la ventana del navegador no equivale a cerrar la sesión.
Con carácter general, estos dispositivos solo están autorizados como herramienta de transporte puntual de ficheros, aplicando siempre las medidas de seguridad establecidas.
No dejes documentos con información sensible en impresoras, escáneres o sobre la mesa al final de la jornada. La información en papel también necesita custodia y destrucción adecuada.
No lo uses para registros en servicios personales ni como dirección de contacto para asuntos ajenos a tu trabajo. Cada uso indebido amplía tu exposición y la de la organización.
Revisa que todos los destinatarios son los correctos y valora usar copia oculta cuando sea necesario para no revelar datos personales de terceros de forma innecesaria.
El tratamiento de grandes volúmenes de datos o el desarrollo de modelos de inteligencia artificial conlleva obligaciones éticas y normativas específicas. Infórmate y aplícalas.
Normativa al día
Zona interactiva
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Canal directo
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Usa esta cara de la tarjeta para dar más información sobre un tema. Focalízate en un concepto. Haz que el aprendizaje y la comunicación sean más eficientes.
Evita almacenar información de trabajo en USBs o discos portátiles
Si usas IA o participas en proyectos de datos masivos, aplica códigos éticos
El correo corporativo es solo para uso profesional
Antes de enviar, comprueba bien los destinatarios
Protege los documentos en papel igual que los digitales
Cierra la sesión al terminar, no solo la ventana
Título
Título
Título
Título
Título
Título
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Escribe aquí una descripción breve
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Zona interactiva
Alerta prioritaria
Quiz del mes
Aviso especial
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
SIGUE >>
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
La urgencia y la comodidad son dos de las palancas más utilizadas para saltarse las normas de seguridad, aunque sea con buena intención. En este caso, la acción correcta es no utilizar esa herramienta con esos datos. Los motivos son claros: los datos personales de ciudadanos —especialmente datos de salud y situación económica— están protegidos por el RGPD y la normativa de la Junta de Andalucía. Introducirlos en una herramienta de IA externa no homologada puede suponer una cesión de datos no autorizada, con consecuencias disciplinarias y legales graves. Lo que debes hacer en esta situación: No subir el expediente a ninguna herramienta externa. Aunque el resultado parezca inmediato, el riesgo es real. Comprobar si existe una herramienta de IA corporativa autorizada para este tipo de tareas. Si el plazo es inasumible sin ayuda, comunicárselo a tu responsable para reorganizar el trabajo, no comprometer la seguridad para cumplirlo. Hablar con tu compañero para informarle del riesgo, especialmente si él también está usando esa herramienta con datos de expedientes. La productividad no puede ir por delante de la protección de los datos de los ciudadanos. Ante la duda, siempre consulta con el área de informática o seguridad.
Respuesta
<< VIENE DE LA ANTERIOR
CONTENIDOS
Alerta prioritaria
Caso práctico
Aviso especial
Son las 9:15 de la mañana. Tienes que preparar una presentación para una reunión a las 12:00 y el tiempo es justo. Un compañero del departamento de al lado te escribe por el chat interno: «Oye, yo uso ChatGPT para esto y en diez minutos lo tienes. Solo tienes que pegarle el borrador del informe con los datos del expediente y te lo estructura solo. Funciona genial». El informe que tienes que preparar incluye datos personales de varios ciudadanos: nombre, NIF, datos de salud y situación económica. La presión del tiempo es real. La herramienta parece una solución rápida y tu compañero la usa habitualmente. ¿Qué harías en esta situación?
Tema del mes
Guía rápida
Radar de amenazas
Normativa al día
Zona interactiva
Canal directo
Ver la respuesta
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.
Elaborado por el SOC de la Junta de Andalucía.
Abril de 2026 Nº 23
Boletín de concienciación en ciberseguridad
CONTENIDOS
Canal directo
Alerta prioritaria
La seguridad es una tarea compartida. Si tienes cualquier duda o sospechas de un incidente, ¡contacta con nosotros!
Aviso especial
Tema del mes
Guía rápida
Email:
Radar de amenazas
incidentes.soc@juntadeandalucia.es
Normativa al día
Teléfono:
Zona interactiva
955 060 974 360974 (corporativo)
Canal directo
Alertas de seguridad y campañas activas
> Consúltalas aquí
Síguenos en:
X: @CentroCiberAND
LinkedIn: Centro de Ciberseguridad de Andalucía
Esta comunicación está destinada a los profesionales públicos de la Administración. Algunos de los enlaces mostrados pueden requerir de la aceptación de cookies.