Sumergidos en plena campaña de la Renta 2023, Hacienda viene alertando a los contribuyentes de una nueva amenaza de los ciberdelincuentes. A las ya conocidas campañas de smishing, vishing o phishing, se suma ahora un nuevo engaño que pretende apoderarse de datos personales y bancarios de sus víctimas.
Los ciberdelincuentes realizan apuestas en nuestro nombre para que posteriormente Hacienda nos reclame por unas ganancias que no hemos declarado. La suplantación de identidad es una práctica muy común en la actualidad. De hecho, hemos visto recientemente casos en los que se han hecho pasar por compañías de suministro de luz, Internet o telefonía con un único objetivo: hacerse con nuestro DNI.
La nueva campaña de smishing
En este caso, la estrategia consiste en enviar un SMS en el que se informa de que se ha ordenado una supuesta devolución del IRPF de la Renta 2023. El mensaje de texto contiene un enlace que deriva a una web fraudulenta que suplanta la identidad de la Agencia Tributaria y que obliga al usuario a clicar en un apartado que dice ‘Más información’.
Al entrar en la dirección, se solicita mediante esta acción de smishing a la víctima todo tipo de datos personales y bancarios. Desde el Instituto Nacional de Ciberseguridad (INCIBE) se alerta que, hasta la fecha, se han detectado varios mensajes con la misma finalidad, detectables a su vez por los errores ortográficos del texto y por contener una URL no oficial de la Agencia Tributaria.
Suplantar la identidad para registrarse en casas de apuestas físicas u online tiene consecuencias negativas, como el hecho de tener que declarar una serie de impuestos por unas ganancias que han recibido los propios ciberdelincuentes haciéndose pasar los damnificados.
Los damnificados son personas que, a la hora de hacer la Declaración de la Renta Hacienda les notifica sobre que han tenido una ganancia de 3.000€ por juego en casas de apuestas, aunque ellos nunca hayan jugado.
Solo desean obtener el DNI
Si la organización criminal tiene en su poder el DNI del damnificado, comienza a abrir cuentas en casas de apuestas a nombre de dicho DNI. De este modo, los ciberdelincuentes podrán obtener importantes ganancias y evadir impuestos. Y es que la Agencia Tributaria se los reclamará al titular del DNI, no al estafador.
El poder de los ciberdelincuentes les lleva, incluso, a manipular las propias casas de apuestas. De este modo, si miles de personas apuestan porque algo va a ocurrir, las cuotas bajan y pueden incluso trastocar el funcionamiento y los pagos que hacen en esas casas de apuestas. El objetivo principal es obtener miles de DNIs para poder operar sin límtes.
¿Qué hacer si se es víctima de esta estafa?
Desde la Dirección General de Ordenación del Juego (DGOJ), perteneciente al ministerio de Derechos Sociales, Consumo y Agenda 2030, se ha habilitado un buzón de correo electrónico para estas personas ([email protected] ), a través del cual los usuarios afectados podrán reclamar su situación.
La propia DGOJ ha implantado un protocolo de actuación coordinado con la Policía Nacional, la Guardia Civil y los operadores de juegos de azar con título habilitante. Así pues, definen una serie de pautas concretas sobre cómo intervenir si se ha sufrido un acceso no autorizado a datos personales e interponer, a posterior, la denuncia pertinente.
Después, la DGOJ informará a las personas afectadas sobre los pasos que deben dar en la gestión de las denuncias y en el esclarecimiento de los hechos, así como facilitarles la labor de persecución de los posibles delitos por las Fuerzas y Cuerpos de Seguridad del Estado.
INCIBE recomienda no dar nuestros datos personales por teléfono sin confirmar previamente quién los recibe. Aquí se incluye también una advertencia clave como es la de no ofrecer fotocopias de nuestro DNI sin medidas previas oportunas como pixelar las imágenes o la firma para que no puedan operar sin nuestro consentimiento.
Se recuerda desde la DGOJ que la suplantación de identidad es un delito y que para ello, todas las casas de apuestas han venido reforzando los requisitos de verificación y acreditación de identidad en los procesos de alta de nuevos jugadores. Para ello, existe un servicio de Phishing Alert y se ha incorporado el servicio de investigación global del mercado de apuestas SIGMA, entre otras medidas.
Se estima que ya se han recibido más de 2.000 correos de personas afectadas por esta estafa, en la que usuarios que nunca han jugado se ven afectados por reclamaciones de ganancias por juego.
Es importante tener en cuenta la recomendación de Hacienda. Y es que la Agencia Tributaria nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta ni adjunta anexos con información de facturas u otros tipos de datos. Tampoco realiza devoluciones a tarjetas de crédito o débito ni usando Bizum. Por último, aclara que nunca cobra importe alguno por los servicios que presta.
