Hace tan solo unos días informábamos sobre el inicio de la campaña de la Renta y las ciberestafas más comunes que se dan. Los ciberdelincuentes aprovechan la campaña tributaria para obtener beneficios ilícitos fácilmente. Ahora INCIBE ha informado sobre un nuevo método de estafa que involucra una sofisticada táctica de smishing que suplanta a la Agencia Tributaria española. Este ataque se centra en el envío de mensajes de texto fraudulentos a los ciudadanos, informándoles sobre una supuesta devolución del Impuesto sobre la Renta de las Personas Físicas (IRPF) del año 2023. Los mensajes incitan a los destinatarios a hacer clic en un enlace que los redirige a una página web falsa, diseñada para robar información personal y bancaria.

En 2023 se presentaron más de 22.899.000 declaraciones, un 3,4% más que el año anterior. De ese total, 13.600.000 den derecho a devolución, un 60% del total, por un importe estimado de 9.946 millones de euros. Estas cifras muestran como los ciberdelincuentes ven el proceso de devolución un objetivo muy interesante dada la cantidad de personas que van a tener compensación por su tributación.

Modus operandi

El modus operandi de este fraude es alarmantemente sencillo pero efectivo. Los ciberdelincuentes envían un SMS que parece ser de la Agencia Tributaria, anunciando una devolución de impuestos de 411,00 euros.

«SEGURIDAD SOCIAL: Le informamos que se ha ordenado el pągo 411,00€. De su dęvolucion de impuęstos pagądos. Dęvolucion a su favor del TGSS 2023. Encuentra mas información en la página:”

AGENCIA TRIBUTARIA: Se ha ordenado el pago 411,00¿ de su devolucion del IRPF de la renta 2023. mas informacion en la web:”

Este mensaje contiene errores ortográficos y un enlace hacia una página web fraudulenta. Al acceder a este sitio, se solicita al usuario que introduzca datos críticos como nombre completo, número de tarjeta de crédito, fecha de caducidad, CVV y PIN.

Ante este tipo de mensajes es muy importante reconocer las señales de alerta de estos SMS fraudulentos. Los errores ortográficos y las URL no oficiales son indicativos claros de fraude. Además, la Agencia Tributaria nunca solicita información sensible a través de SMS o enlaces web externos.

Consejos de la Agencia Tributaria en SMS y emails que les suplantan

La propia Agencia Tributaria ha emitido un comunicado de recomendaciones ante estas campañas que pretenden suplantarla. Esas recomendaciones son las siguientes:

No atiendas esos mensajes, es un intento de fraude suplantando la imagen de la Agencia Tributaria.

No es la primera vez que se utiliza este tipo de correos o SMS. Por este motivo, la concienciación y la información de la ciudadanía es esencial. Recomendamos:

  • No abrir mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestar en ningún caso a estos mensajes.
  • Precaución al seguir enlaces en correos, aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.

La Agencia Tributaria insiste en que nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes, ni adjunta anexos con información de facturas u otros tipos de datos.

¿Qué hacer si has caído en esta estafa?

Si ya has proporcionado tu información personal y financiera, es esencial actuar rápidamente:

  1. Guarda todas las pruebas: Captura pantallas del mensaje y el enlace fraudulento.
  2. Egosurfing: Monitorea tu presencia en internet durante los meses siguientes para asegurarte de que tus datos no están siendo utilizados maliciosamente.
  3. Asesoramiento y denuncia: Contacta con líneas de ayuda en ciberseguridad para informar sobre el fraude y recibe asesoramiento. Además, presenta una denuncia ante las autoridades competentes con todas las pruebas recopiladas.
  4. Verifica la autenticidad de los mensajes: Si tienes dudas sobre la veracidad de un SMS, consulta directamente con la Agencia Tributaria.

La suplantación de la Agencia Tributaria mediante smishing es una realidad preocupante que busca aprovecharse de la buena fe de los ciudadanos. La clave para protegerse está en la prevención, la educación y la rápida reacción ante cualquier sospecha de fraude.

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre