Con la campaña de la declaración de la renta en marcha, los intentos de fraude digital vuelven a intensificarse. En este escenario, los ciberdelincuentes han activado nuevas campañas de suplantación de identidad utilizando como gancho a la Agencia Tributaria, un recurso recurrente por su alta capacidad de generar confianza entre los contribuyentes.
Durante estas semanas, millones de usuarios esperan comunicaciones relacionadas con su declaración de la renta, lo que incrementa la probabilidad de que un mensaje fraudulento pase desapercibido. Basta con incluir el nombre del organismo público en el asunto o en el cuerpo del correo para que muchos destinatarios bajen la guardia y actúen sin verificar la autenticidad del mensaje.
Mensajes con errores, pero altamente efectivos
Uno de los aspectos más llamativos de esta campaña es la baja calidad aparente de los correos electrónicos utilizados. A diferencia de otras operaciones más elaboradas, en este caso los mensajes carecen de logotipos oficiales, no incluyen formatos corporativos y presentan errores evidentes en la redacción.
Fallos ortográficos, ausencia de acentos o frases mal estructuradas siguen estando presentes, algo que contrasta con campañas más sofisticadas vistas en años anteriores. Sin embargo, el contexto de la declaración de la renta juega a favor de los atacantes. La urgencia percibida y el miedo a posibles incidencias fiscales hacen que muchos usuarios prioricen la rapidez frente a la verificación.
Este patrón demuestra que no siempre es necesaria una gran inversión técnica para que un ataque tenga éxito. La clave sigue siendo el factor humano y la capacidad de explotar momentos de alta sensibilidad como la campaña fiscal.
El archivo adjunto, puerta de entrada del ataque
El elemento crítico de esta campaña es el fichero adjunto incluido en el correo. A primera vista, puede parecer un documento relacionado con gestiones fiscales, pero en realidad se trata de un archivo malicioso diseñado para ejecutar código en el equipo de la víctima.
Al abrirlo, el usuario no accede a información sobre su declaración de la renta, sino que activa un script en JavaScript. Este código se encuentra ofuscado, una técnica habitual que busca dificultar su análisis y evitar su detección por herramientas de seguridad básicas.
Una vez ejecutado, el script establece conexión con una dirección remota que, aunque pertenece a un dominio legítimo, ha sido comprometida previamente. Desde ahí se descarga un segundo archivo, generalmente en formato PowerShell, que se ejecuta automáticamente en el sistema afectado.
Formbook, el malware detrás de la campaña
El objetivo final de esta cadena de infección es la instalación de Formbook, un conocido malware especializado en el robo de información. Este tipo de amenaza se centra en extraer credenciales almacenadas en navegadores, clientes de correo y otras aplicaciones de uso habitual.
Formbook lleva años activo y ha evolucionado hasta convertirse en una herramienta ampliamente utilizada en esquemas de malware como servicio. Esto permite a distintos grupos criminales lanzar campañas sin necesidad de desarrollar su propio software malicioso.
En el contexto actual, la utilización de la declaración de la renta como señuelo multiplica la efectividad del ataque. Los datos robados pueden incluir accesos a servicios financieros, plataformas de gestión o incluso información personal suficiente para ejecutar nuevas campañas de fraude.
Miles de correos detectados en pocos días
La propagación de esta campaña ha sido especialmente intensa. En cuestión de días se han detectado miles de correos dirigidos a usuarios en España, lo que apunta a una estrategia de distribución masiva. Este enfoque busca maximizar el número de posibles víctimas, compensando la baja sofisticación del mensaje.
El uso de cuentas comprometidas para enviar estos correos añade un nivel adicional de riesgo. En muchos casos, los mensajes proceden de direcciones aparentemente legítimas, lo que dificulta su identificación como amenaza.
La combinación de volumen, contexto y automatización convierte este tipo de campañas en una de las principales amenazas durante la temporada de la declaración de la renta.
Cómo reducir el riesgo durante la campaña fiscal
Ante este escenario, la prevención sigue siendo la herramienta más eficaz. Es fundamental desconfiar de cualquier correo que solicite acciones urgentes relacionadas con la declaración de la renta, especialmente si incluye archivos adjuntos o enlaces externos.
También resulta clave revisar cuidadosamente la dirección del remitente, evitar la descarga de ficheros no solicitados y mantener actualizado el software de seguridad. Soluciones avanzadas permiten detectar comportamientos anómalos, incluso cuando el código malicioso intenta ocultarse mediante técnicas de ofuscación.
Según ESET, este tipo de campañas continúa evolucionando en volumen y frecuencia, aprovechando periodos concretos del calendario para aumentar su impacto. Por ello, la combinación de tecnología y hábitos seguros se presenta como la mejor defensa frente a amenazas cada vez más automatizadas.
