Vi når nästa nivå av nätfiske: skrivna per brev, tryckta och med våra personuppgifter exponerade
I åratal har vi lärt oss att se med misstänksamhet på e-postmeddelandet som lovar en oväntad återbetalning, sms:et som ber oss att uppdatera ett konto eller WhatsApp-meddelandet som kommer för akut. Nätfiske har fastnat för oss som något digitalt, klistrat på en skärm, på en misstänkt länk eller på en webbplats som försöker se ut som vår banks.
Men den bilden brister. Samma logik av bedrägeri kan också passera dörren till huset inuti ett kuvert, tryckt på papper och med utseendet av en officiell kommunikation. Skillnaden ligger inte så mycket i mekanismen som i sammanhanget.
Istället för att vänta på att vi ska klicka på en länk från vår mobiltelefon försöker angriparen dra nytta av det förtroende vi fortfarande har för viss fysisk kommunikation.
Och just däri ligger risken. Papper kan ge en känsla av legitimitet som ett misstänkt e-postmeddelande inte längre alltid uppnår, även om innehållet är detsamma som alltid: att imitera någon att pressa oss att leverera information som vi inte bör dela. Pappersfiske: den gamla bluffen har hittat en annan brevlåda.
Ett exempel delades nyligen på LinkedIn av Inés Zuriaga del Castillo, som sa att hon hade fått ett fysiskt brev hemma hos sig som påstås ha skickats av Ledger, företaget känt för sina hårdvaruplånböcker, fysiska enheter för lagring av kryptotillgångsnycklar. Enligt dess publikation innehöll kuvertet papper, ett officiellt utseende brevhuvud och en instruktion att skanna en QR med det förmodade syftet att uppdatera enheten och skicka återställningsfrasen. Den sista punkten är den mest uppenbara röda flaggan: återställningsfrasen ska aldrig delas.
Till vänster, fallet med ett falskt brev skickat i Ledgers namn. Till höger, en bedräglig kommunikation upptäckt av socialförsäkringen. Ledger har också varnat för sådana försök på sin supportsida.
Företaget beskriver ett brev som presenterar sig som ett meddelande om "säkerhetsverifiering" och ber användaren att skanna en QR för att ange sin hemliga återställningsfras, förmodligen för att undvika säkerhetsproblem eller avbrott i tjänsten. Företagets rekommendation är tydlig: skanna inte dessa koder, besök inte dessa länkar och dela aldrig de 24 återställningsorden. Det är inte en liten detalj.
Med den frasen kan en angripare ta kontroll över plånboken och flytta de tillhörande medlen. Fallet är inte begränsat till kryptovalutornas värld. Socialförsäkringen har upptäckt i Spanien en kampanj med bedrägliga brev riktade till förmånstagare och pensioner, där personlig dokumentation som DNI eller ett foto av kontoutdraget efterfrågas.
Förevändningen är enligt organisationen att data hade gått förlorade på grund av en påstådd dataangrepp och att denna information skulle behövas för att sätta in ett belopp på pensionärens konto efter en höjning av förmånen. Entiteten kommer ihåg att den aldrig kommer att begära att information eller dokumentation skickas via e-post, en tillräcklig ledtråd för att misstro denna typ av kommunikation.
De två exemplen riktar sig till olika målgrupper, men de delar samma arkitektur. När det gäller Ledger kretsar lockbetet kring en plånbok och en återställningsfras som aldrig ska lämna användarens kontroll.
Inom socialförsäkringen stöds trycket av en förmån, en pension och löftet om en väntande inkomst. De ändrar språket, den personifierade enheten och den typ av data de försöker få, men den bakomliggande manövern är identisk: konstruera en kommunikation som är tillräckligt trovärdig för att offret ska kunna agera innan kontroll. När det gäller Ledger kretsar lockbetet kring en plånbok och en återställningsfras som aldrig ska lämna användarens kontroll.
Frågan som fortfarande svävar är svår att undvika: hur kommer ett brev som detta till en specifik adress. Sanningen är att personuppgifter kan hamna avslöjade på grund av intrång hos företag, leverantörer eller förvaltningar, även om användaren har gjort sin del någorlunda bra: använd starka lösenord, aktivera tvåstegsverifiering eller var försiktig med misstänkta meddelanden. Utan att gå längre rapporterade AEPD att den 2025 mottog 2 765 meddelanden om intrång i personuppgifter, och noterade att de som drabbade flest personer var relaterade till ransomware och intrång som ledde till att stora mängder information slocknade.
Därifrån kommer ytterligare en bit av hjulet in: den stulna informationen används inte alltid bara en gång och den förblir inte heller i händerna på den som skaffade den först. Som vi redan berättade i Xataka kunde dokument som en spansk DNI hittas på illegala internetmarknader för cirka 15 euro. Dessa uppgifter förklarar inte ursprunget till de specifika brev som vi har sett, men de hjälper till att förstå något viktigt: när personlig information börjar cirkulera utom kontroll kan den återanvändas i olika bedrägerier, med olika format och ibland väldigt långt från det ursprungliga intrånget.
I Xataka åt en antropisk arbetare ett mellanmål när han fick ett mejl som han aldrig borde ha fått: det var Mythos. Det finns en enkel regel som fungerar för både digitalt nätfiske och detta pappersnätfiske: ju mer en kommunikation driver oss att agera snabbt, desto långsammare bör vi gå. Ett brev som begär känsliga uppgifter bör ringa varningsklockorna.
Vi bör inte skanna QR:en ur tröghet, inte heller ska vi använda e-postmeddelandet som den föreslår och vi skulle inte ringa telefonnumret som visas som det enda kontaktmedlet. Vad rekommenderas? Verifiera först på egen hand, på den officiella webbplatsen eller på enhetens offentliga kanaler.
Det är mindre bekvämt, ja, men det är också precis det som bryter fällan. I slutändan är formatet nästan det minst viktiga. Det kan vara ett mejl, ett sms, ett WhatsApp-meddelande eller ett brev på brevpapper.
Det som förändras är scenariot, inte avsikten: att få oss att lita på tillräckligt för att leverera något som senare kan vända sig mot oss. Det är därför dessa typer av fall är användbara, även när vi inte känner till alla detaljer om deras ursprung. De påminner oss om att säkerheten inte börjar när vi upptäcker en falsk webbplats, utan ett steg innan: när vi bestämmer oss för att inte automatiskt tro på en kommunikation bara för att den verkar seriös.
Bilder | Xataka med Grok | Inés Zuriaga del Castillo In Xataka | Hur ofta ska vi ändra ALLA våra lösenord enligt tre cybersäkerhetsexperter
Originalkälla
Publicerad av Xataka
27 april 2026, 21:01
Denna artikel har översatts automatiskt från spanska. Klicka på länken ovan för att läsa originaltexten.
Visa originaltext (spanska)
Rubrik
Estamos llegando al siguiente nivel del phishing: escrito por carta, impreso y con nuestros datos personales al descubierto
Beskrivning
Durante años hemos aprendido a mirar con desconfianza el correo electrónico que promete un reembolso inesperado, el SMS que nos pide actualizar una cuenta o el mensaje de WhatsApp que llega con demasiada urgencia. El phishing se nos ha quedado grabado como algo digital, pegado a una pantalla, a un enlace sospechoso o a una web que intenta parecerse a la de nuestro banco. Pero esa imagen se está quedando corta. La misma lógica del engaño también puede cruzar la puerta de casa dentro de un sobre, impresa en papel y con apariencia de comunicación oficial. La diferencia no está tanto en el mecanismo como en el contexto. En lugar de esperar a que pulsemos un enlace desde el móvil, el atacante intenta aprovechar la confianza que todavía concedemos a determinadas comunicaciones físicas. Y, precisamente, ahí está el riesgo. El papel puede dar una sensación de legitimidad que un correo sospechoso ya no siempre consigue, aunque el fondo sea el mismo de siempre: suplantar a alguien para empujarnos a entregar información que no deberíamos compartir. Phishing en papel: el viejo engaño ha encontrado otro buzónUn ejemplo reciente lo compartió en LinkedIn Inés Zuriaga del Castillo, que contó haber recibido en su domicilio una carta física supuestamente enviada por Ledger, la empresa conocida por sus wallets de hardware, dispositivos físicos para guardar claves de criptoactivos. Según su publicación, el sobre incluía papel, un membrete con apariencia oficial y una instrucción para escanear un QR con el supuesto objetivo de actualizar el dispositivo y enviar la frase de recuperación. Ese último punto es la señal más evidente de alarma: la frase de recuperación no debe compartirse nunca. A la izquierda, el caso de una carta falsa enviada en nombre de Ledger. A la derecha, una comunicación fraudulenta detectada por la Seguridad Social. Ledger también ha advertido de este tipo de intentos en su página de soporte. La compañía describe una carta que se presenta como un aviso de “verificación de seguridad” y que pide al usuario escanear un QR para introducir su frase de recuperación secreta, supuestamente con el fin de evitar problemas de seguridad o interrupciones en el servicio. La recomendación de la empresa es tajante: no escanear esos códigos, no visitar esos enlaces y no compartir nunca las 24 palabras de recuperación. No es un detalle menor. Con esa frase, un atacante puede tomar el control de la wallet y mover los fondos asociados. El caso no se limita al mundo de las criptomonedas. Seguridad Social ha detectado en España una campaña de cartas fraudulentas dirigidas a beneficiarios de prestaciones y pensiones, en las que se solicita documentación personal como el DNI o una foto del extracto bancario. El pretexto, según el organismo, es que se habrían perdido datos por un supuesto ataque informático y que esa información sería necesaria para ingresar una cantidad en la cuenta del pensionista tras un incremento de la prestación. La entidad recuerda que nunca solicitará el envío de información o documentación a un correo electrónico, una pista suficiente para desconfiar de ese tipo de comunicaciones. {"videoId":"x7ztx9j","autoplay":false,"title":"Ransomware qué es, cómo infecta y cómo protegerse", "tag":"ransomware", "duration":"165"} Los dos ejemplos apuntan a públicos distintos, pero comparten una misma arquitectura. En el caso de Ledger, el señuelo gira alrededor de una wallet y de una frase de recuperación que jamás debería salir del control del usuario. En el de la Seguridad Social, la presión se apoya en una prestación, una pensión y la promesa de un ingreso pendiente. Cambian el lenguaje, la entidad suplantada y el tipo de dato que se intenta conseguir, pero la maniobra de fondo es idéntica: construir una comunicación lo bastante verosímil como para que la víctima actúe antes de comprobar. En el caso de Ledger, el señuelo gira alrededor de una wallet y de una frase de recuperación que jamás debería salir del control del usuario. La pregunta que queda flotando es difícil de esquivar: cómo llega una carta así a un domicilio concreto. Lo cierto es que los datos personales pueden acabar expuestos por brechas en empresas, proveedores o administraciones, incluso aunque el usuario haya hecho razonablemente bien su parte: usar contraseñas robustas, activar la verificación en dos pasos o desconfiar de mensajes sospechosos. Sin ir más lejos, la AEPD informó de que en 2025 recibió 2.765 notificaciones de brechas de datos personales, y señaló que las que afectaron a un mayor número de personas estuvieron relacionadas con ransomware e intrusiones que derivaron en la exfiltración de grandes volúmenes de información. A partir de ahí entra otra pieza del engranaje: los datos robados no siempre se usan una sola vez ni se quedan en manos de quien los obtuvo primero. Como ya contamos en Xataka, documentos como un DNI español podían encontrarse en mercados ilegales de Internet por unos 15 euros. Ese dato no permite explicar el origen de las cartas concretas que hemos visto, pero sí ayuda a entender algo importante: cuando la información personal empieza a circular fuera de control, puede reutilizarse en fraudes distintos, con formatos distintos y en momentos muy alejados de la brecha original. En Xataka Un trabajador de Anthropic estaba merendando cuando recibió un mail que jamás debería haber recibido: era Mythos Hay una regla sencilla que sirve tanto para el phishing digital como para este phishing en papel: cuanto más nos empuja una comunicación a actuar rápido, más lento deberíamos ir nosotros. Una carta que pide datos sensibles debe hacer saltar las alarmas. No deberíamos escanear el QR por inercia, tampoco deberíamos al correo que nos propone y no llamaríamos al teléfono que aparece como única vía de contacto. ¿Lo recomendable? Primero verificar por nuestra cuenta, en la web oficial o en canales públicos de la entidad. Es menos cómodo, sí, pero también es exactamente lo que rompe la trampa. Al final, el formato es casi lo de menos. Puede ser un email, un SMS, un mensaje de WhatsApp o una carta con membrete. Lo que cambia es el escenario, no la intención: hacer que confiemos lo suficiente como para entregar algo que después puede volverse contra nosotros. Por eso este tipo de casos son útiles, incluso cuando no sabemos todos los detalles de su origen. Nos recuerdan que la seguridad no empieza cuando detectamos una web falsa, sino un paso antes: cuando decidimos no creer automáticamente en una comunicación solo porque parece seria. Imágenes | Xataka con Grok | Inés Zuriaga del Castillo En Xataka | Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Estamos llegando al siguiente nivel del phishing: escrito por carta, impreso y con nuestros datos personales al descubierto fue publicada originalmente en Xataka por Javier Marquez .
