Comienza la campaña de fraude 'online' en la Renta 2022: consejos para no picar
Los ciberdelincuentes incluyen certificados de seguridad y dominios más parecidos a los de Hacienda para intentar timar a los contribuyentes.
Los canales digitales son cada vez más utilizados por los contribuyentes. Y los ciberdelincuentes lo saben. | Unsplash
Como cada año, comienza la campaña de la Renta y también empieza la actividad de los ciberdelincuentes, con el envío de correos maliciosos y otros mensajes online para robar dinero o datos a los contribuyentes. La suplantación de la Agencia Tributaria no es nada nuevo, pero en estos meses aumentan los envíos de phishing y malware, con diseños cada vez más logrados e, incluso, certificado de seguridad. Desde THE OBJECTIVE te detallamos los aspectos a los que debes prestar atención para evitar el fraude online en la Renta 2002.
Esta es la temporada alta de la recaudación tributaria. Según datos de la propia Agencia Tributaria, se prevé que en la campaña de la Renta 2022 que acaba de comenzar se presenten 22.899.000 declaraciones, un 3,4% más que el año anterior. De ellas, cerca de 13,6 millones darán derecho a devolución, un 60% del total, por un importe estimado de 9.946 millones de euros.
De ahí que los ciberdelincuentes aprovechen este enorme volumen de víctimas potenciales y el ansia habitual de muchos contribuyentes, que quieren contar lo antes posible con los recursos que salen a devolver en la declaración.
Hay algunas prácticas novedosas y muy básicas. Por ejemplo, el uso fraudulento de Bizum para, supuestamente, hacer el ingreso de la devolución de forma más ágil y rápida. Los ciberdelincuentes, en realidad, están enviando una solicitud de envío de dinero. Lo más aconsejable es no fiarse y prestar atención a ciertos aspectos.
Suplantación y fraude ‘online’ en la Renta 2022
Desde ESET España han revisado algunos de los correos más recientes de los delincuentes que quieren aprovechar este momento, en que gran parte de los contribuyentes españoles presentan su declaración de la renta. Es bastante común la reutilización de plantillas ya observadas en otros meses, con pequeñas diferencias: algunas mencionan una comunicación postal y otras una notificación electrónica.
La intención de los delincuentes con el envío de este correo es provocar que el usuario que lo reciba crea que realmente existe un aviso legítimo procedente de la Agencia Tributaria y pulse sobre el enlace preparado a tal efecto. «Sin embargo, a pesar de que en el cuerpo del mensaje parece que se nos redirige a la web oficial, solamente con poner el cursor por encima podemos comprobar que la URL que se muestra no tiene nada que ver con el organismo oficial», explica Josep Albors, director de investigación y concienciación de ESET España.
lo habitual es que al pulsar sobre este tipo de enlaces se redirija a una web con una plantilla similar a la de la Agencia Tributaria, incluso con dominios que pueden ser similares a la de la institución oficial. En muchos casos, se utiliza la misma web para hacer este tipo de fraudes online y los ciberdelincuentes las dotan de certificados de seguridad para resultar más creíbles.
Hay que prestar atención a las extensiones de los dominios. Por ejemplo, en las URL de algunas webs falsas aparece la extensión .bz, que corresponde a los dominios de Belice. También se puede revisar el registro de los dominios, que en la mayoría de los casos sólo llevan unos meses de funcionamiento y se realizan desde otros países.
Webs falsas con certificados de seguridad
Es una práctica común que los delincuentes incluyan los certificados de seguridad en sus webs fraudulentas. Con ello, intentan ganar credibilidad, ya que muchos usuarios siguen pensando que este certificado y el icono del candado que va asociado a ellos confirma que la web es segura. Pero no es así: Albors insiste en que el certificado de seguridad sólo indica que los datos enviados desde nuestro dispositivo a esta web se transmiten por un canal cifrado, pero no que la web sea segura.
La fecha del certificado también es otra pista a tener en cuenta para evitar caer en las ciberestafas durante esta campaña de la Renta 2022. Si se ha obtenido hace sólo unos días o pocos meses, también es una señal de que hay que desconfiar: se ha realizado justo a tiempo para que el phishing dé el resultado que ellos esperan.
El objetivo de los delincuentes es robar credenciales de los usuarios, desde el email, el DNI, los datos bancarios o cualquier otro dato relacionado en mayor o menor medida con la Agencia Tributaria. Además, cualquier tipo de credenciales robadas en esta campaña puede ser utilizada en ataques posteriores para acceder a todo tipos de servicios. También para venderlas de forma masiva cualquiera de los numerosos foros en los que los ciberdelincuentes trafican con la información robada.
‘Malware’ para el robo de datos
También se ha detectado el envío de un correo fraudulento que adjunta un fichero para robar información personal almacenada en los sistemas que consiga infectar, ya sea el ordenador o el móvil. Se trata de una técnica más sofisticada que la anterior, ya que se basa en un código malicioso para recopilar la información, en lugar de engañar a un usuario para que la introduzca manualmente.
Aunque en algunos casos se pueden utilizar otros remitentes institucionales para generar confianza, como la Fábrica Nacional de La Moneda y Timbre, se sigue el mismo patrón: se informa de una supuesta notificación de la Agencia Tributaria, adjuntándose un fichero para que los usuarios lo abran. Sin embargo, se trata de un fichero ejecutable que contiene el código malicioso responsable de ejecutar la fase inicial de este malware.
En uno de los últimos mensajes detectados por ESET España, se ha encontrado un malware del tipo infostealer, con capacidades para robar credenciales en aplicaciones de uso cotidiano como navegadores, correo electrónico, FTP o VPN, entre otras. Al aprovechar la campaña de la Renta 2022 que actualmente se está desarrollando en España, el mayor número de detecciones se está produciendo en nuestro país, aunque es probable que se desarrolle en otros países.
Consejos contra el fraude ‘online’ en la Renta 2022
En ING han enviado un mensaje con consejos para sus clientes. De este modo, pretenden ayudarles y evitar que sean víctimas de mensajes fraudulentos, correos maliciosos y peticiones de datos que pueden ser utilizados en su contra. Son los siguientes:
- Mira con lupa los emails y SMS que adoptan la imagen de la Agencia Tributaria. Los aspectos a los que hay que prestar especial atención son la ortografía, ya que suelen incluir faltas ortográficas o utilizan expresiones forzadas y poco naturales. También la dirección del remitente: los dominios oficiales de la Agencia Tributaria son @agenciatributaria.es y @correo.aeat.es.
- Nunca te pedirán el número de cuenta o de la tarjeta de débito o de crédito de tu banco. Y mucho menos por correo electrónico, por teléfono o a través de un enlace enviado por SMS. Tampoco te pedirán que llames a un teléfono concreto.
- En cuanto a las apps que dicen ser de la Agencia Tributaria, para tener mayor seguridad, es conveniente que la descargues directamente desde la App Store y Google Play. No utilices los enlaces enviados por email o SMS para descargar la aplicación.
- No te fíes si recibes algún mensaje de la supuesta Agencia Tributaria para informarte que tu declaración te sale a devolver pero que debes aceptar el ingreso a través de Bizum. Los ciberdelincuentes, en realidad, te envían una petición de pago para que, en vez de recibir el dinero de la declaración, les envíes dinero a ellos.
- Y tampoco creas que cualquier cuenta en las redes sociales con la imagen parecida a las de Hacienda son las auténticas. Hay numerosas cuentas falsas de diversos organismos cuyo objetivo es estafar a usuarios desprevenidos. Ten cuidado con ello.
