El 2 de abril arranca la campaña de la Renta 2024, un periodo en el que tanto empresas como particulares deben rendir cuentas con Hacienda y que, como cada año, supone una oportunidad para que los ciberdelincuentes intenten engañar a los contribuyentes. Es habitual recibir correos electrónicos o SMS que simulan ser de la Agencia Tributaria, incluso antes del inicio oficial del proceso, ya que estas campañas fraudulentas se repiten a lo largo del año. Sin embargo, es ahora cuando los delincuentes aprovechan con mayor fuerza el contexto de los pagos fiscales, por lo que resulta clave recordar los tipos de estafas a los que estamos expuestos.
La estrategia más clásica usada por los ciberdelincuentes desde hace ya muchos años consiste en enviar un correo a los usuarios haciéndose pasar por la Agencia Tributaria. "En los últimos años hemos observado una mejoría notable por parte de los delincuentes a la hora de preparar estos emails, cometiendo cada vez menos faltas de ortografía (o incluso ninguna) y adjuntando todo tipo de logotipos oficiales para hacerlos más creíbles", avisa Josep Albors, director de investigación y concienciación de ESET España.
Cuando analizamos una de estas campañas de phishing siempre revisamos si los delincuentes se han molestado en suplantar también la dirección de email para que parezca que proviene realmente de la Agencia Tributaria. Hay casos en los que simplemente se utilizan direcciones de correo electrónico comprometidas o temporales y otras en las que, al menos aparentemente, estos emails parecen provenir realmente desde un organismo oficial, siendo más creíbles de cara a las víctimas.
Los correos electrónicos maliciosos de este tipo ofrecen también versatilidad a los delincuentes, ya que pueden usarlos para propagar malware en un fichero adjunto, introducir un enlace para descargar una amenaza o usar ese enlace para dirigir a la víctima a una web preparada para robar sus datos. Todas estas opciones suponen un riesgo importante para cualquier usuario, por lo que aprender a reconocer estos correos es crucial para evitar caer en la trampa preparada por los delincuentes.
SMS suplantando la identidad de la Agencia Tributaria
Otra de las técnicas favoritas de los delincuentes, cuya utilización ha ido creciendo durante los últimos años, es el uso de mensajes SMS enviados a dispositivos móviles haciéndose pasar por la Agencia Tributaria. Es posible, incluso, que estos mensajes tengan un identificador que los haga pasar por legítimos, porque en nuestra bandeja de entrada de SMS los cataloga como “Hacienda” o “Agencia Tributaria”.
Además, la gran mayoría de estos mensajes, tal y como ocurre con los emails fraudulentos, suelen tratar de generar una sensación de urgencia, ya sea porque se ha detectado un posible fallo en nuestra declaración de la renta, hay riesgo de una sanción o se nos debe hacer un abono a nuestra cuenta.
Los SMS fraudulentos de este tipo duelen contener un enlace que puede, o no, hacerse pasar por un dominio legítimo (o al menos tratar de parecerse al organismo que suplantan). Actualmente se utilizan mayoritariamente para redirigir a la víctima a páginas web de phishing donde nos solicitan datos privados para robarlos.
Ante este tipo de mensajes lo mejor que podemos hacer es ignorarlos y, si tenemos dudas de si son legítimos, contactar con la Agencia Tributaria por los cauces oficiales, ya sea usando alguno de los teléfonos oficiales o a través de su aplicación móvil oficial. Nunca debemos confiar en un enlace enviado a través de un SMS como los que hemos analizado sin antes estar 100% seguros de que se trata de algo legítimo.
La temática del pago de impuestos es algo que los delincuentes realizan de forma recurrente todos los años tanto en España como en muchos otros países. Aunque, en los últimos años se han esforzado para hacer que los emails, SMS y páginas fraudulentas sean más creíbles, las técnicas usadas son las mismas que observábamos hace décadas incluso. Por ese motivo es importante estar alerta ante este tipo de engaños, sospechar de comunicaciones no solicitadas, vengan de donde vengan y usar solamente los canales oficiales para compartir cualquier tipo de información privada.