Los ciberdelincuentes también saben llevar una agenda y así se ha demostrado con la nueva estafa que han puesto en marcha en cuanto Hacienda ha dado el pistoletazo de salida a la campaña de IRPF de este año. El Instituto Nacional de Ciberseguridad (Incibe) ha advertido de que muchos ciudadanos han recibido vía SMS órdenes de pago a su favor en concepto de devolución de impuestos pagados de la renta de 2023, con diferente cantidades, haciéndose pasar por la Agencia Tributaria. El enlace que incluye los mensajes deriva a una web fraudulenta que te roba los datos personales y bancarios.
El inicio de la Campaña de la Renta 2023-2024 comenzó el pasado miércoles 3 de abril, y con ella la Agencia Tributaria ha puesto a disposición de todos los contribuyentes españoles el borrador de su declaración, para que desde ese mismo día se pueda presentar la declaración por vía telemática. La digitalización del proceso resulta cómoda y adecuada, pero desgraciadamente también da lugar a que los delincuentes de la red se aprovechen, y mucho, del desconocimiento digital, la ingenuidad del contribuyente, el deseo de contar con el dinero de la devolución si corresponde y el miedo a las multas de Hacienda que tienen una gran afectación entre la población española.
Al igual que ocurre con otras campañas e instituciones, la suplantación de la Agencia Tributaria vía SMS durante el periodo de presentación de la Renta correspondiente a 2023 se está produciendo desde los primeros días de la campaña, y ya se han visto afectados los y las ciudadanas que hayan accedido al enlace que contiene dicho mensaje. El mensaje de texto «atrapa» al incauto contribuyente bajo la promesa de la devolución de buena parte del dinero en concepto de impuestos que haya cotizado a los largo del pasado año.
En la campaña detectada por el Incibe, los ciberdelincuentes utilizan a técnica llamada smishing, que consiste en el envío de mensajes de texto a través de SMS. En ellos se informa al usuario de la Hacienda ha ordenado ya el pago de un importe determinado, lo suficientemente atractivo para que el receptor caiga en la trampa. Al mensaje le acompaña siempre un enlace que conduce a una página de internet que suplanta con todo tipo de detalle a la verdadera web de la Agencia tributaria.
El mensaje de texto «atrapa» al incauto contribuyente bajo la promesa de la devolución de buena parte del dinero en concepto de impuestos que haya cotizado a los largo del pasado año.
Hasta el momento se han detectado varios tipos de mensajes con la misma finalidad. Como siempre que se trata de estafas a través de mensajes en el móvil o en el correo electrónico, se trata de mensajes que incluyen errores ortográficos y, por supuesto, una URL no oficial de la Agencia Tributaria. Han aparecido mensajes con cantidades que pueden corresponder a devoluciones bastante realistas, casi siempre de un importe de 411,00 euros en concepto de devolución de impuestos pagados.
El verdadero peligro es que se rellenen los datos que piden en las casillas de la web a la que redirige el enlace, en la que se pide al usuario que introduzca su nombre completo, número de tarjeta de crédito, fecha de caducidad, CVV y PIN.
COMO EVITAR QUE NOS ENGAÑEN EN NOMBRE DE HACIENDA
Según advierte Incibe, si se ha recibido el mensaje de texto trampa, y no se accede al enlace adjunto, lo recomendable es bloquear al remitente y, por supuesto, eliminarlo de la bandeja de entrada para borrar todo rastro de él.
Sin embargo, si se ha accedido al enlace y se ha cometido el error de facilitar los datos personales y bancarios, para evitar que a través de ellos se hagan con el dinero de la cuenta corriente en cuestión, lo conveniente es seguir un pequeño conjunto de recomendaciones.
El verdadero peligro es que se rellenen los datos que piden en las casillas de la web a la que redirige el enlace, en la que se pide al usuario que introduzca su nombre completo, número de tarjeta de crédito, fecha de caducidad, CVV y PIN
Incibe señala que lo primero es hacer capturas y pantalla y almacenar todas las pruebas del smishing, incluidos, por supuesto, los enlaces a la web fraudulenta. De esta manera se va a poder certificar estas evidencias, a través de la página llamada «testigos online«.
Según los consejos de Incibe, durante los siguientes meses es conveniente realizar un egosurfing, una búsqueda en internet que ofrece la posibilidad de conocer los datos que hay en la red sobre nosotros y que constituyen nuestra identidad o huella digital.
Después, es muy importante ponerse en comunicación con la Línea de ayuda en Ciberseguridad, para poder asesorarse e informarse de en qué consiste el fraude, y así también contribuir a la prevención de que los ciberdelincuentes triunfen engañando a otras personas. El Incibe también ofrece la posibilidad de reportar el fraude a través de su buzón de correo a tal efecto.
ponerse en contacto con las Policía o la Guardia Civil para presentar la correspondiente denuncia, en la que se deben presentar todas las capturas de pantalla, el enlace y el resto de pruebas del fraude sufrido que se hayan podido recopilar.
El siguiente paso es ponerse en contacto con las Policía o la Guardia Civil para presentar la correspondiente denuncia, en la que se deben presentar todas las capturas de pantalla, el enlace y el resto de pruebas del fraude sufrido que se hayan podido recopilar.
La Agencia Tributaria ya cuenta con una dilatada experiencia en materia de fraudes cometidos en su nombre, por lo que cuenta con un apartado relacionado con este tipo de estafas al que se puede acudir para comprobar la veracidad del mensaje que hemos recibido. Ponerse en contacto, bien presencialmente o bien por teléfono, con la institución u organismo que supuestamente nos ha enviado el mensaje es la mejor manera de comprobar siempre que las notificaciones recibidas, tanto mediante SMS como a través del correo electrónico o de WhastApp, pertenenceo o no la la fuente oficial.
Estos fraudes y ataques, que se llaman de «ingeniería social», se producen muy a menudo, pero la población en general, que cada vez está más informada sobre estos peligros cibernéticos, pueden estar todavía más infomados, tal y como insiste Incibe, si se visita su «sección de Ciudadanía, donde encontrarás información relacionada con estas posibles amenazas«, indican desde la institución con sede en León.
Según explican desde el instituto, «esta técnica de ingeniería social se utiliza con la intención de enviar un SMS al usuario informándole de que va a recibir un pago por la presentación de la renta del año 2023. En el mensaje se incluye un enlace para que el usuario sea redirigido a una web fraudulenta, en la que, a través de formularios, introduzca sus datos personales y bancario».
