Pensé que era SMS de Hacienda y me acabaron robando el PIN de la tarjeta

Para tratar de dar mayor credibilidad a estos falsos mensajes, los estafadores usan empresas de mensajería o Correos, así como organismos como Hacienda, tratando de que aumente el número de personas que puedan picar. Si lo haces, puedes acabar perdiendo el PIN de tu tarjeta y exponiéndote a ser robado.

Nueva estafa haciéndose pasar por Hacienda

Avast, una de las principales firmas de seguridad y privacidad digital, alerta hoy sobre el descubrimiento de una nueva campaña de smishing en el que se suplanta a Hacienda. Los ciberdelincuentes se hacen pasar por la Agencia Tributaria enviando mensajes de texto en los que se informa de incidencias en nuestras cuentas con el organismo.

En este caso, para tratar de que la avaricia juegue en contra de las víctimas, se habla de un beneficio para el contribuyente en forma de falso reembolso de impuestos. El objetivo final, como os podéis imaginar, es sustraer a la víctima sus datos bancarios.

«Agencia Tributaria: Te califico para un reembolso de impuestos, para beneficiarse, complete el formulario en el sitio [web]»

Suplantan la página web de la Agencia Tributaria

Si se sigue el enlace que nos llega por SMS, daremos con una web que simula la estética de la web real de la Agencia Tributaria, aunque bastará con echar un ojo a la URL para comprobar que no se trata de la oficial ni se parece.

La víctima del ataque tendrá que rellenar un formulario para proceder al reembolso con los datos de su tarjeta de crédito, incluyendo el CCV y el código PIN, datos que en ningún caso harían falta para un reembolso. Cuando la declaración de la Renta contempla devolución, la misma se procesa a través de la cuenta bancaria con información que la Agencia Tributaria ya tiene sobre los contribuyentes.

Finalmente, se solicita la introducción de un código que supuestamente se recibirá a través de un SMS (que la víctima nunca recibe), o abriendo la aplicación del banco, desde el propio teléfono, donde se supone que se recibirá una notificación del reembolso.

«Los usuarios que tengan dudas sobre si un mensaje recibido es real o falso, deberían no hacer clic en ningún enlace o adjunto. En su lugar, deben ponerse en contacto directamente con su banco o con la empresa de la que parezca provenir el mensaje, visitando su sitio web y utilizando la información de contacto que aparece en el mismo. Además, aconseja que se pueden observar detalles que demuestran que se trata de una estafa. En este caso concreto, aunque se intenta imitar el sitio web real de la entidad, este carece de funcionalidad, ya que, por ejemplo, no cambia de idioma al seleccionar la opción, aunque estas aparezcan desplegadas», recomienda Luis Corrons, Security Evangelist de Avast.

Desde el INCIBE nos dan una serie de recomendaciones para evitar caer en la trampa de los ciberdelincuentes:

• No accedas a los mensajes de usuarios desconocidos o que no hayas solicitado, bórralos directamente.
• No contestes a estos SMS en ningún momento.
• Ten cuidado al hacer clic sobre enlaces, aunque sean de contactos conocidos.
• Si el SMS tiene un enlace y este te redirige a la descarga de una app, no la descargues en ningún caso. Las aplicaciones enviadas a través de un enlace por SMS suelen estar infectadas por cualquier malware.
• Si tienes dudas, consulta directamente con la entidad implicada a través de sus canales oficiales.

Si por desgracia ya has caído en una estafa de este tipo, los pasos a seguir deberían ser los siguientes, también según el Instituto Nacional de Ciberseguridad:

• Ponte en contacto de inmediato con tu entidad bancaria para informar de lo que ha sucedido y cancelar posibles transacciones que se hayan podido efectuar.
• Si has facilitado también datos personales, como el número de teléfono o el correo, permanece atento y comprueba que no seas objeto de otro tipo de fraude por esos medios o que no te suplanten.
• También podrás denunciar esta situación ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).