Josep Albors, experto en ciberseguridad, en un montaje con la Agencia Tributaria.
Josep Albors, experto en ciberseguridad: “Atención a los correos que se hacen pasar por la Agencia Tributaria”
Correos electrónicos o SMS son fórmulas habituales para engañar a los contribuyentes. Así puedes detectarlos.
Más información: Estas son las deducciones más 'locas' en la declaración de la Renta: para viudos, amas de casa, impago de alquiler…
Otro año más, la campaña de la Renta vuelve a llamar a las puertas de los ciudadanos. También lo hacen los ciberdelincuentes que aprovechan este momento para hacerse pasar por la Agencia Tributaria y hacer de las suyas.
“Es habitual recibir correos electrónicos o SMS que simulan ser de la Agencia Tributaria, incluso antes del inicio oficial del proceso, ya que estas campañas fraudulentas se repiten a lo largo del año”, afirma Josep Albors, experto en ciberseguridad y director de investigación y concienciación de ESET España.
A continuación, te mostramos cuáles son estos fraudes, los indicios clave para detectarlos, y las tácticas que usan para obtener información sensible.
¿Cuál es la estrategia más clásica de los ciberdelincuentes?
Desde hace ya muchos años es enviar un correo a los usuarios haciéndose pasar por la Agencia Tributaria (AEAT). “Cuidado con ellos. En los últimos años hemos observado una mejoría notable por parte de los delincuentes a la hora de preparar estos emails, cometiendo cada vez menos faltas de ortografía, o incluso ninguna, y adjuntando todo tipo de logotipos oficiales para hacerlos más creíbles”, resalta Albors.
Campañas de phising en las que los delincuentes, incluso, se molestan en suplantar también la dirección del mail. De esta manera, parece que proviene realmente de la AEAT.
“Hay casos en los que simplemente se utilizan direcciones de correo electrónico comprometidas o temporales y otras en las que, al menos aparentemente, estos emails parecen provenir realmente desde un organismo oficial, siendo más creíbles de cara a las víctimas”, añade.
Asimismo, pueden usar estos correos para propagar malware en un fichero adjunto, introducir un enlace para descargar una amenaza o usar ese enlace para dirigir a la víctima a una web preparada para robar sus datos. “Todas estas opciones suponen un riesgo importante para cualquier usuario, por lo que aprender a reconocer estos correos es crucial para evitar caer en la trampa preparada por los delincuentes”, remarca el experto en ciberseguridad.
¿Qué otras técnicas usan los ciberdelincuentes?
Durante los últimos años está aumentando el uso de mensajes SMS enviados a teléfonos móviles haciéndose pasar por la Agencia Tributaria. “Es posible, incluso, que estos mensajes tengan un identificador que los haga pasar por legítimos, porque en nuestra bandeja de entrada de SMS los cataloga como “Hacienda” o “Agencia Tributaria”.
Un ejemplo: “Tiene una incidencia grave en su declaración. Posible sanción de 947,84 EUR. Envía documentación inmediatamente aquí”. Y ponen un enlace en el que aparecen las palabras ‘hacienda’ y ‘trámite’.
“Además, la gran mayoría de estos mensajes, tal y como ocurre con los emails fraudulentos, suelen tratar de generar una sensación de urgencia, ya sea porque se ha detectado un posible fallo en nuestra declaración de la Renta, hay riesgo de una sanción o se nos debe hacer un abono a nuestra cuenta”, apunta Josep Albors.
Los SMS fraudulentos de este tipo suelen contener un enlace que puede, o no, hacerse pasar por un dominio legítimo (o al menos tratar de parecerse al organismo que suplantan). Actualmente, se utilizan mayoritariamente para redirigir a la víctima a páginas web de phishing donde se solicitan datos privados para robarlos.
Falso SMS suplantando a Hacienda.
“Ante este tipo de mensajes lo mejor que podemos hacer es ignorarlos y, si tenemos dudas de si son legítimos, contactar con la Agencia Tributaria por los cauces oficiales”, recomienda el experto en ciberseguridad.
Entonces, hay que usar los teléfonos oficiales de la AEAT, o su aplicación móvil oficial. “Nunca debemos confiar en un enlace enviado a través de un SMS como los que hemos analizado sin antes estar 100% seguros de que se trata de algo legítimo”, concluye Josep Albors.
