“Agencia Tributaria – Aviso” Este es el asunto del correo que roba tus datos y tu dinero

La campaña de la Renta 2022 comienza el 11 de abril de 2023 y la cercanía de esta fecha comienza a hacer que los ciberdelincuentes afilen sus cuchillos y comiencen sus propias campañas de suplantación de identidad haciéndose pasar por la Agencia Tributaria.
Mucho cuidado con estas nuevas estafas, que os podrían acabar costando algún disgusto.
Nueva campaña de correos fraudulentos
No es desde luego nada nuevo, pero acercándose la fecha para el comienzo de la campaña de la Renta 2022, el Instituto Nacional de Ciberseguridad (INCIBE), ha detectado una nueva campaña de phishing que trata de suplantar a la Agencia Tributaria y utiliza una página web fraudulenta, similar a la legítima, con el fin de obtener las credenciales de acceso del usuario.
El método que han empleado los autores de esta nueva campaña de estafas no es muy novedoso, pero conviene repasar qué hacen para que no caigáis en sus redes. Los correos electrónicos de phishing que se han incautado muestran en el asunto «Agencia Tributaria – Aviso n. XXXXXXXXXX». En el contenido del correo se avisa de que el usuario tiene una nueva notificación, algo que perfectamente podría ser creíble.
En esa falsa notificación, una de las señales de sospecha tiene que ver con los datos personales que supuestamente aporta Hacienda. Entre ellos el titular, para el que utilizan el correo electrónico en vez del nombre y apellidos reales del destinatario, dado que lo desconocen. Además, para tratar de añadir credibilidad, aportan datos como un identificador que probablemente sea un número aleatorio.
El fin de este correo es que el usuario acabe haciendo clic en una serie de enlaces maliciosos con dominios completamente diferentes al real (agenciatributaria.gob.es), lo cual sería un signo de sospecha, pero que una vez dentro calcan la estética de la web oficial.
Es importante recordar que el proceso de autenticación en la sede electrónica de la Agencia Tributaria se realiza a través del DNI electrónico, clave o certificado digital. No se accede a través de un usuario de correo electrónico y contraseña, por lo que, al ver este tipo de inicio de sesión, el usuario debería alertarse. En caso de introducir estos datos, quedarán en manos de los ciberdelincuentes.
Para añadir sensación de urgencia, una técnica muy común en las estafas de ingeniería social, el mensaje termina alertando sobre los posibles efectos jurídicos de no responder a la notificación. De esta forma, reducen el tiempo para pensar y las víctimas actúan más descuidadas.
También vuelven los SMS falsos de Agencia Tributaria
Meses antes de la campaña de la renta para este año, ya se avisó de estos SMS fraudulentos que suplantan (smishing), en este caso, a la Agencia Tributaria. Pero, una vez más, regresan a la escena. Desde el INCIBE nos dan una serie de recomendaciones para evitar caer en la trampa de los ciberdelincuentes:
- No accedas a los mensajes de usuarios desconocidos o que no hayas solicitado, bórralos directamente.
- No contestes a estos SMS en ningún momento.
- Ten cuidado al hacer clic sobre enlaces, aunque sean de contactos conocidos.
- Si el SMS tiene un enlace y este te redirige a la descarga de una app, no la descargues en ningún caso. Las aplicaciones enviadas a través de un enlace por SMS suelen estar infectadas por cualquier malware.
- Si tienes dudas, consulta directamente con la entidad implicada a través de sus canales oficiales.
Si seguimos el enlace suministrado en estos SMS, que supuestamente sirven para gestionar declaraciones que salen a devolver, los ciberdelincuentes quieren que el usuario haga clic en el enlace para robar la información personal y datos bancarios.