La Agencia Tributaria vuelve a estar como cada año en el objetivo de los ciberdelincuentes, todo con el fin de aprovechar para robar datos personales o bancarios de aquellas personas que caigan en alguna de estas estafas masivas. Estafas entre las que encontramos una de las que más dio que hablar el pasado 2023 y que ha vuelto a la carga este 2024.
Un mensaje por SMS fraudulento con el que los ciberdelincuentes haciéndose pasar por la Agencia Tributaria aseguran que la persona ha sido seleccionada para recibir un reembolso de dinero, pero tras el que realmente se esconde una de las estafas más peligrosas y frecuentes en España. Te contamos todos los detalles necesarios para evitar caer en este fraude.
¿Te ha llegado un SMS para devolverte dinero por la declaración de la renta?
"Agencia Tributaria: Usted ha sido seleccionado para recibir un reembolso de impuestos por un monto de 324,65 EUR. Acceda a su formulario de reembolso a través del enlace XXX". Si este mensaje de SMS te suena, te adelantamos que es a través de esta táctica con la que estos individuos malintencionados intentan engañar a los contribuyentes mediante mensajes de texto que simulan ser enviados por la Agencia Tributaria.
Con la temporada de declaraciones de impuestos en marcha, los estafadores aprovechan la oportunidad para atraer a posibles víctimas utilizando el nombre de la Agencia Tributaria. Según ellos, este período es propicio para llevar a cabo sus propias actividades delictivas.
Josep Albors, director de Investigación y Concienciación de ESET España, advierte sobre estos mensajes SMS fraudulentos que informan sobre un reembolso de impuestos, induciendo a muchos usuarios a pensar que se les está notificando un reembolso relacionado con su declaración de impuestos.
¿Cómo funciona la estafa por SMS en nombre de la Agencia Tributaria?
La forma que tienen de operar estos delincuentes es sencilla. Mandan el mensaje y, para que el contribuyente solicite dicho reembolso, se le pide que acceda a un enlace.
En principio, puede parecer que se trata de un enlace legítimo. Sin embargo, y poniendo un poco de atención, el destinatario de dicho mensaje podrá darse cuenta de que no tiene nada que ver con el de la Agencia Tributaria.
¿Qué pasa si se acaba 'picando' y se pincha sobre dicho enlace? "Se puede observar como se nos redirige a una web que sí tiene un parecido bastante conseguido con la legítima pero el dominio en el que está alojado no tiene nada que ver", añade Josep Albors.
Es en esta web fraudulenta donde se indica cómo conseguir el supuesto reembolso. Un proceso que se inicia al pulsar el botón preparado por los delincuentes.
¿Qué datos piden en este SMS fraudulento?
Ni cortos ni perezosos los estafadores van al grano una vez el contribuyente ha accedido a la solicitud de reembolso. De ahí que pidan los datos de su tarjeta de crédito o débito. Y se arman de razón: es el requisito requerido para poder llevar a cabo el reembolso.
De esta manera, y con los datos solicitados en su poder, los delincuentes no solo podrían realizar compras online con cargo a la tarjeta de su víctima sino que, además, podrían duplicarla y sacar dinero en efectivo de cualquier cajero.
"No obstante, para realizar según que operaciones es necesario realizar un paso más para que estas sean autorizadas. Normalmente, la entidad emisora de la tarjeta envía por SMS un código temporal de un solo uso que debe introducirse para autorizar ciertas operaciones. Por este motivo, los delincuentes solicitan a sus víctimas su número de teléfono en el siguiente paso", advierte Albors.
Y es en ese número registrado a nombre de la víctima donde se enviarán los mensajes SMS con los códigos de autenticación necesarios para aprobar las compras o retiradas de dinero que muchas tarjetas ya solicitan al sobrepasar cierta cantidad.
¿Qué más pasos le siguen a esta estafa de la declaración de la renta?
Los delincuentes no paran y prosiguen con su táctica. Al ser el teléfono de la víctima, solicitan (eso sí, de manera amable a la misma) que se les introduzca el código temporal. De esta manera, lo que pretenden es hacerle creer al usuario que se trata de una última comprobación antes de ingresarle el dinero.
Unas campañas de phishing, que se están realizando mediante kits ya preconfigurados, y que pueden ser obtenidos fácilmente por delincuentes sin demasiada experiencia. Y usan Telegram tanto para la generación del dominio fraudulento como para la exfiltración de los datos robados.
"Esto es algo que llevamos observando desde hace tiempo y que facilita mucho las cosas a los aprendices de delincuentes y a los que les venden estos kits de creación de campañas de phishing. De ahí que este tipo de delitos hayan aumentado considerablemente en los últimos años", concluye el director de Investigación y Concienciación de ESET España.