Todos los años los contribuyentes tienen unas fechas marcadas en el calendario, fijadas por los días que inician y finalizan la campaña de la Renta. Los mismos días que los ciberdelincuentes tienen señalados en sus calendarios. Hoy 2 de abril de 2018 comienza la campaña de la Renta. El inicio de esta campaña (y la de cada ejercicio), supone un gancho para el cibercrimen, que trata de aprovecharse suplantando a la Agencia Tributaria y engañar a los usuarios.
Precisamente una de las técnicas más usadas es el phishing, que consiste precisamente en el envío de comunicaciones, normalmente correos electrónicos, haciéndose pasar por una entidad u organización para que la víctima del engaño ofrezca información personal.
De hecho, las técnicas de suplantación de identidad de la Agencia Tributaria, con el fin de obtener información confidencial de los usuarios, se multiplican de forma exponencial con la llegada, este martes, 2 de abril, de la Campaña de la Renta.
Cada vez más fuentes de ataques
El correo electrónico ha sido tradicionalmente el medio más empleado por los ciberdelincuentes para lanzar estos ataques, pero cada vez más usan otro tipo de cauces. SMS, mensajes en redes sociales, aplicaciones de mensajería como WhatsApp o incluso aplicaciones fraudulentas.
De hecho, desde Entelgy Innotec Security, resaltan que «dado el auge de las aplicaciones de mensajería instantánea como Whatsapp o Telegram, así como de las redes sociales, se observa un incremento importante en el envío de mensajes fraudulentos por medio de estos canales, aumentando las posibilidades de que los usuarios caigan en alguno de estos engaños».
Normalmente estos mensajes fuerzan a la víctima a hacer clic en algún enlace que le lleva a una página fraudulenta, también haciéndose pasar por la Agencia Tributaria.
La meta es que la víctima revele información personal, desde credenciales de usuario, hasta datos de sus tarjetas de crédito, datos de la seguridad social o números de cuentas bancarias.
El problema se agrava porque en ocasiones este tipo de ataques de phishing pueden ser la primera etapa de un ciberataque más complejo, para «establecer un primer punto de entrada en los sistemas de la víctima y desarrollar acciones posteriores de espionaje o exfiltración de información», señalan desde Innotec security.
No te dejes engañar: así son estos mensajes fraudulentos
Los mensajes fraudulentos que más suelen repetirse en este tipo de estafas son los que aluden a supuestos reembolsos de impuestos que el usuario debería recibir.
El mensaje solicita que, para poder recibir el dinero, el interesado debe acceder a una página web donde le pedirán los datos bancarios para así poder devolverles del dinero.
La propia Agencia Tributaria cuenta en su página web con información importante respecto a este tipo de campañas de phishing, que se repiten año tras año.
Además, recuerda que ellos nunca piden información a los contribuyentes a través del correo electrónico, ya sean datos personales o económicos.
Para evitar ser una víctima de estos fraudes, es necesario estar prevenidos y poner en marcha las recomendaciones de ciberseguridad. Los especialistas de Entelgy Innotec Security aconsejan en primer lugar observar siempre el dominio del remitente del correo.
En este caso concreto, deberíamos comprobar que el dominio de la Agencia Tributaria es aeat.es. Cualquier otra combinación de letras es fraudulenta.
Además, como en cualquier otro caso de phishing, es recomendable no abrir e-mails de usuarios desconocidos o sospechosos, mejor ser prudente y deshacernos de ellos.
Tampoco es aconsejable acceder a los enlaces adjuntos en correos, SMS o mensajes de aplicaciones de mensajería o redes sociales si tienen un aspecto sospechoso o llaman a la acción. Es importante recordar siempre que ni la Agencia Tributaria, ni el banco solicitan nunca información personal por correo electrónico.
Por si acaso, es un buen hábito revisar periódicamente las cuentas bancarias, y alertar sobre cualquier irregularidad que encontremos.
Para reforzar la seguridad de las cuentas, es importante mantener una buena higiene de contraseñas y mantenerlas lo más protegidas posible.
Estar al día de este tipo de engaños y fraudes es también fundamental para prevenir y no «picar» en ellos.
Google lanza un test para medir tus conocimientos sobre phishing, ¿serás capaz de superarlo?