Seleccione las secciones siguientes para mostrar u ocultar su contenido.
Cuando un usuario inicia sesión desde un dispositivo desde el que no lo había hecho antes, nuestra sede electrónica le envía este mensaje de forma automática para que el usuario tenga constancia de ello y, en caso necesario, pueda tomar las medidas que considere.
En el improbable caso de que esto fuera un ataque de suplantación de identidad, el atacante podría acceder a información protegida suya y realizar operaciones en su nombre.
Entedemos que haya ocasiones en que estos mensajes puedan resultarle molestos, pero es una medida de seguridad necesaria que le protege a usted y no es posible desactivarla.
La inmensa mayoría de estos mensajes corresponden a inicios de sesión legítimos del usuario correspondiente y no a suplantaciones de identidad de un atacante.
Sin embargo, siga leyendo para saber si puede descartar esa posibilidad completamente.
Si los datos que constan en el mensaje son correctos y coinciden con un inicio de sesión que sí recuerda haber realizado, se trata de un inicio de sesión legítimo y puede eliminar el mensaje.
Debe actuar dependiendo de la procedencia de dicha dirección, la cual se indica en el mismo mensaje que ha recibido y puede ser una de las siguientes:
El funcionamiento correcto es que solo reciba un mensaje la primera vez para cada dispositivo usado para iniciar la sesión (ya sea un PC, teléfono móvil, tablet, etc.) o si ha transcurrido más de un mes desde la vez anterior.
El sistema recuerda un dispositivo usado anteriormente mediante una cookie almacenada en él. Si borra dicha cookie, la siguiente vez que inicie sesión desde él, se considerará que es un nuevo dispositivo y volverá a recibir un mensaje.
Si recibe más mensajes de los que debería, es posible que dicho dispositivo esté configurado para eliminar automáticamente las cookies al salir. Si es así y no sabe cómo cambiarlo, puede intentar reinstalar el navegador o restablecerlo a la configuración de fábrica.
Revise cada uno de los apartados siguientes.
En el mensaje de correo recibido constan los datos del certificado digital usado. Este certificado puede ser de persona física o de representante:
Preste especial atención al documento de identidad del titular y, si lo hay, al del representante que aparecen en el mensaje. Si este no es correcto o tiene algún dígito o letra cambiado, es probable que el mensaje no fuera dirigido a usted y no le afecte. Puede que el inicio de sesión fuera de otra persona pero, por algún error, le enviáramos el correo-e a usted. Para poder corregirlo y que no vuelva a ocurrir, en el mensaje que ha recibido también se indica la procedencia de la dirección de correo-e empleada. Dependiendo de esta, debe proceder como se indica a continuación:
Compruebe la fecha y hora del inicio de sesión que consta en el mensaje (puede que no coincida exactamente con la fecha y hora en la que recibió el mensaje) e intente recordar qué estaba haciendo en ese momento. A veces podemos ir de un enlace a otro y, por error, acceder a alguna página de la sede que requiera iniciar sesión, mostrándose la página correspondiente. Si no sabe cómo es la página de inicio de sesión y cree que puede ayudarle a recordar, puede probar a iniciar sesión de nuevo (si ya la tenía iniciada, deberá cerrarla antes).
Si usted recuerda haber completado el inicio de sesión con su certificado, aunque posteriormente cerrara la página rápidamente (por ejemplo, al darse cuenta de que no era donde quería ir), el mensaje ya se habría enviado de todos modos. En ese caso, también se trataría de un inicio de sesión legítimo y podría eliminar el mensaje recibido.
Si es así, asegúrese de que esas personas no hayan sido las que iniciaron la sesión con su certificado (ya sea por descuido o intencionadamente).
Existen formas más seguras de usar un certificado desde un ordenador compartido. Por ejemplo, puede guardar su certificado en una tarjeta criptográfica que pueda llevarse con usted cuando abandone su puesto. Como mínimo, debería asegurarse de que su certificado requiera una contraseña robusta para que nadie más pueda usarlo. Además, aunque no afecta al envío del mensaje en cuestión, asegúrese también de cerrar la sesión al marcharse y no iniciarla marcando la opción "mantener la sesión iniciada en este dispositivo (no marque esta opción si está usando un ordenador compartido)".
Salvo excepciones, es posible copiar un certificado y entregárselo a otra persona para que realice actuaciones en nuestro nombre, con el fin de facilitarnos ciertas gestiones administrativas.
Otra posibilidad es que esa otra persona haya solicitado un certificado a su nombre. Obviamente, se requeriría su colaboración a la hora de hacerlo, ya que el proceso de solicitud de un certificado nuevo necesita que el titular se identifique (presencialmente o por videollamada). Si es el caso, usted debería ser consciente de haberlo hecho.
Tanto si ha facilitado una copia a otra persona, o ha permitido que ella solicite un certificado por usted, debería saber que esto no es una buena práctica, ya que los certificados son personales e intransferibles. Esto se aplica tanto a los certificados de persona física (en los que solo el titular está autorizado a usarlo), como a los certificados de representante (en los que solo ese representante concreto está autorizado a usarlo). Sin embargo, tenemos constancia de casos donde se hace incorrectamente. Si es así, considere contactar con el emisor del certificado (en el mensaje recibido se indica quién es) para solicitar la revocación del mismo y con la persona que usaba su certificado para informarle.
La forma correcta de que una persona actúe en nombre de otra no es usando el certificado de esa otra persona, sino usando el suyo propio tras haber realizado un apoderamiento, el cual es gratuito y se puede hacer por Internet a través de Apodera.
Solo si no se encuentra en ninguno de los supuestos anteriores, es posible que algún atacante haya conseguido acceder a la clave privada de su certificado.
En ese caso, debería solicitar la revocación inmediata, contactando con el emisor del mismo (en el mensaje recibido consta quién es el emisor). Tras la revocación, el certificado quedará invalidado, nadie podrá volverlo a usar y puede que necesite solicitar otro nuevo.
Si, además, decide presentar una denuncia por suplantación de identidad, aporte los datos incluídos en el mensaje recibido. También puede recabar información sobre otros inicios de sesión accediendo con su usuario en su historial de sesiones.
Puede obtener asistencia en ciberdelitos llamando al teléfono 017 del Instituto Nacional de Ciberseguridad (INCIBE) o interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
