Tiempo de lectura: 6 minutos

El Instituto Nacional de Ciberseguridad (Incibe) tiene mucho trabajo siempre. Pero en todo el proceso de la Declaración de la Renta (que finaliza en julio) y de otros impuestos, su labor se multiplica por la proliferación de campañas de ciberfraudes a través de correos electrónicos que simulan proceder de la Agencia Tributaria.

Un empleado de una empresa o un autónomo recibe en su correo un mensaje que parece ser una comunicación oficial de la Agencia Tributaria española con un texto que le informa de que se le va a efectuar un “reembolso de impuestos”, para lo cual se le pide hacer click en un enlace que viene incluido en el propio texto del correo electrónico. El usuario pincha en el enlace y es dirigido a un sitio web que simula ser una página de la Agencia Tributaria española. Y ya está el fraude y el robo de datos financieros en marcha.

Como regla general, el Incibe recomienda desconfiar de todos los mensajes recibidos por correo electrónico en los que se ofrezca dinero al usuario, reembolsárselo o prometérselo si participa en alguna actividad. Lo mejor que puede hacer al recibir esos correos electrónicos es borrarlos sin abrirlos. Podemos detectar que es un fraude si la web tiene un indicativo de dominio distinto de «.es» que es el que corresponde con la Agencia Tributaria (de todos modos, que el dominio sea «.es» en otros casos no garantiza que la web sea segura), o si utiliza un nombre similar al oficial, con errores ortográficos o caracteres de más en su denominación.

Si seguimos el enlace puede aparecer un formulario diseñado para robar los datos identificativos de la tarjeta de crédito del usuario. Éste es otro elemento clave que nos debería hacer sospechar que se trata de un fraude: nos informan que vamos a recibir dinero (un reembolso) pero, sin embargo, nos solicitan los datos de la tarjeta de crédito (que es un medio de pago).

El Incibe ofrece más consejos:

  1. Ten cuidado con correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  2. No contestes en ningún caso a estos correos.
  3. Precaución al seguir enlaces en correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
  4. Cuidado al descargar ficheros adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.

A través de correos electrónicos, SMS, o mensajes de redes sociales se suplanta la identidad de una persona u organización, especialmente de Hacienda, con el objetivo de que el destinatario revele información personal: sus credenciales de usuario, datos de sus tarjetas de crédito y de la Seguridad Social o números de cuentas bancarias.

La Joya no Joya y…
La Cuenta NÓMINA
Del Banco no Banco

Sin comisiones, con tarjetas gratis ¡y mucho más! Ábrela en 5 minutos y ciérrala en un solo clic… otra cosa es que quieras.

Estos correos, con enlaces a sitios web, en teoría conocidos, o con archivos adjuntos dañinos son muy habituales y pueden ser la fase inicial de otro tipo de ataques de mayores consecuencias, avisan en Entelgy Innotec Security.

Cómo identificar los mensajes fraudulentos según la propia Agencia Tributaria

Cada año, cuando se acerca las fechas de la Declaración de la Renta, la propia Agencia Tributaria incluye en su portal web avisos para prevenir esos ataques de phishing. Éstos suelen aludir a supuestos reembolsos de impuestos. Para poder disponer del dinero, el remitente solicita al usuario que acceda a una dirección web, donde se le pedirán datos de cuentas bancarias y tarjetas de crédito.

La Agencia Tributaria recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes. Tampoco paga devoluciones con cargo a tarjetas de crédito, ni cobra importe alguno por los servicios que presta.

Con el objetivo de evitar estos ciberataques, Entelgy Innotec Security ofrece algunas recomendaciones a tener en cuenta, aunque puedan resultar reiterativas:

  1. Observa el dominio del remitente del correo. En este caso comprueba que el dominio de la Agencia Tributaria es aeat.es. Cualquier otro dominio es falso.
  2. No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente y no contestes a ellos.
  3. No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, SMS, mensajes de Whatsapp o de redes sociales, dado que pueden redirigir a una web fraudulenta. Si tienes dudas, teclea directamente la dirección web en tu navegador.
  4. Ten precaución al descargar ficheros o ejecutables adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque provengan de personas que conoces.
  5. Introduce tus datos personales solamente en webs seguras, con protocolo https://, y con un icono de un candado pequeño. Recuerda que ni la Agencia Tributaria, ni tu banco, te pedirán nunca que envíes tus claves o datos personales por correo. Ante cualquier duda, llama directamente a Hacienda o a tu banco. Además, así alertas de un posible fraude.
  6. Revisa periódicamente tus cuentas bancarias para estar al día de cualquier irregularidad.
  7. Modifica periódicamente tus contraseñas y utiliza una diferente para cada una de tus cuentas en redes sociales, correos y páginas web. Además, asegúrate de que estas sean robustas, es decir, largas y con caracteres de diferente tipo.
  8. Mejor ser prudente. Siempre es mejor rechazar cualquier mensaje que genere dudas o que enlace con una web cuya URL no coincida con el organismo en cuestión.

Un adjunto para bloquear el ordenador

Otra firma de ciberseguridad, Kaspersky Lab, advierte sobre los correos electrónicos simulando ser la Agencia Tributaria con un adjunto que tiene la finalidad de infectar tu dispositivo mediante un ransomware, que puede bloquear tu ordenador, tu tablet o tu móvil, e impedirte el acceso a tus archivos. Después te solicitan un rescate para devolverte el control de tu dispositivo.

Los emails suelen llevar como título: “Errores en su Declaración de la Renta” o “Devolución de Impuestos”. Una táctica que desgraciadamente sigue funcionando muy bien es el mensaje de que te van a devolver dinero, para lo que te solicitan los datos bancarios en un formulario. El objetivo final es robar esos datos para venderlos.

Con la consolidación de la aplicación de la Agencia Tributaria para poder realizar la Declaración de la Renta en el móvil, se han multiplicado las imitaciones fraudulentas. Para evitarlas, asegúrate de descargar la app oficial en sitios seguros, como Google Play y App Store.

Hay que insistir, por tanto, en las medidas de precaución:

  1. No abras los adjuntos sospechosos de los emails. Hacienda no te va a solicitar datos personales por esta vía. Y menos para devolverte dinero.
  2. Si te has infectado por el ransomware, no pagues el rescate, ya que nadie garantiza que te vayan a devolver el acceso a tus archivos. Una opción es entrar en noransom, donde Kaspersky Lab ofrece de forma gratuita soluciones para descifrar los archivos. Y descárgate una solución de seguridad para eliminar el ransomware y que te proteja en el futuro.
  3. Ya no es necesario descargarse el programa PADRE para hacer la Declaración de la Renta. Si recibes un email con un enlace para su descarga, no lo abras, porque probablemente tenga fines maliciosos.
  4. Cuidado con las llamadas que recibas si has optado por el sistema de Renta WEB telefónica “Le llamamos”.

Una falsa Agencia Tributaria

Iniseg pone el foco en el ciberataque (phishing, en la jerga del sector) basado en suplantar la identidad y la imagen visual de la Agencia Tributaria, enviando comunicaciones para hacer creer al sufrido contribuyente que está entrando en la web de Hacienda. De esta manera, la víctima pincha en el link que le lleva a la fuente equivocada y ofrece información confidencial que es aprovechada por los delincuentes cibernéticos.

El ciberataque más frecuente es aquel que solicita el supuesto reembolso de impuestos a través de una dirección web que emula a la Agencia Tributaria donde se pedirán los datos de cuentas bancarias y tarjetas de crédito. Un sistema que funciona muy bien pese a que la Agencia Tributaria real, la de verdad, nunca devuelve dinero de esta manera.

En Naranja | Evita el phishing: que nadie pesque en tus cuentas


Tu opinión es muy importante para nosotros.

¿Te ha aportado valor esta información?

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (8 votos, media: 5,00 sobre 5)
Cargando…