Desgraciadamente, la ciberseguridad es una amenaza constante para todos. Los ciberdelincuentes se aprovechan de todos los medios a su alcance, para intentar estafar a la gente que, ya sea por descuido, inexperiencia, ignorancia o ingenuidad, sigue cayendo en sus redes.
Por ejemplo, cualquiera puede recibir un mensaje de estafa a través de la suplantación de identidad, que trata de hacernos caer en un engaño para que facilitemos datos personales, contraseñas, número de cuenta, etc. Es lo que se conoce como phishing.
Se trata de ciberdelito del que ya hemos hablado en numerosas ocasiones, tanto de qué es el phishing y de cómo protegernos de él, como de algunas de sus variantes, como el spear phishing o el spoofing.
Un tipo de delito que, como demuestran las estadísticas, ha ido creciendo de forma bastante preocupante. De hecho, según el gráfico que veis debajo el número de ataques de phishing ha crecido de manera alarmante desde 2013 a nuestros días, con un crecimiento muy acusado desde 2020.
En cualquier caso, hoy os queremos hablar de una nueva oleada de phishing que se está extendiendo ahora que se acerca el comienzo de la campaña de la Renta.
Y es que el fraude consiste en que recibimos un supuesto aviso de notificación de la AEAT con un mensaje del tipo “la Agencia Tributaria ha emitido una notificación dirigida al NIF…” que, en realidad, es un intento de estafa. Vamos a ver cómo es y de qué manera actuar.
Falsos mensajes de la Agencia Tributaria
Como decimos, la nueva campaña de phishing que se está difundiendo ahora mismo está relacionada con la Agencia Tributaria y puede afectar a cualquiera (ya sea empresario, autónomo o trabajador) que haga uso del correo electrónico.
Todos somos susceptibles de recibir un email que se hace pasar por la agencia que gestiona nuestros impuestos, pero en realidad es una suplantación de identidad destinada a robar nuestras credenciales de acceso a su web.
Tal y como está advirtiendo el INCIBE, el ciberataque se está produciendo con mensajes distintos, aunque, como phishing que es, todos llegan a través del correo electrónico y tienen los mismos fines ilegales. Veamos las distintas modalidades en que puede llegarnos:
CASO 1. NOTIFICACIÓN FINAL: QUEDAN 48 HORAS PARA RESPONDER
Hemos puesto el titular en mayúsculas porque, precisamente, esto forma parte de la estrategia de los piratas informáticos, que quieren llamar la atención sobre la importancia de responder a la falsa notificación de la Agencia Tributaria y conseguir que la víctima actúe rápido y sin pensar.
El texto del correo es muy similar a éste que ha difundido la propia agencia:
Asunto: AEAT: Notfiicación Final de Documentación: Plazo Límite de 48 Horas
NOTIFICACIÓN FINAL: QUDAN 48 HORAS PARA RESPONDER
Le informamos que está disponible una nueva notificación para xxx@xxxxxx como Titular con los siguientes datos:
Organismo emisor: Agencia Estatal de Administración Tributaria, con DIR3: EA0028512
Identificador: 3223511
Concepto: Requerimiento de Información
Le facilitamos un enlace directo a la notificación.
Por medio de la presente, la Agencia Estatal de Administración Tributaria (AEAT) , le informa que, tras la revisión de su declaración del Impuesto sobre el Valor Añadido (IVA) del último ejercicio fiscal, se ha detectado la necesidad de solicitar documentación adicional debido a inconsistencias observadas.
Se le notifica que este comunicado constituye el aviso final. El plazo para la presentación de la documentación requerida concluye en 48 horas.
Para facilitar el proceso, le recordamos que hemos habilitado un espacio en línea donde puede subir la documentación solicitada.
Es imperativo actuar con diligencia ante esta solicitud.
Le invitamos a acceder a su área personal en nuestro sitio web para adjuntar los documentos correspondientes.
Con base en el artículo 29 bis de la Ley del Impuesto sobre el Valor Añadido, cualquier requerimiento de documentación relacionado con discrepancias en las declaraciones fiscales debe ser atendido y resuelto en un plazo máximo de 30 días a partir de la primera notificación. Si no se cumple con este plazo, el contribuyente estará sujeto a sanciones automáticas y posibles acciones legales adicionales por parte de la AEAT.
Agradecemos su atención inmediata a este asunto crítico.
Atentamente,
Agencia Estatal de Administración Tributaria (AEAT)
NOTA: Este es un mensaje automático generado por el sistema. Por favor, no responda a este correo electrónico. Si necesita asistencia, diríjase a nuestro sitio web o póngase en contacto con nuestro servicio de atención al cliente.
AVISO LEGAL: Este correo electrónico puede contener información confidencial. Si no es usted el destinatario indicado, le rogamos que notifique al remitente y borre este mensaje de su sistema. Queda prohibida cualquier divulgación, distribución o copia de este correo sin la autorización correspondiente. Gracias.
Este correo electrónico se envió desde una dirección de solo notificación que no puede aceptar correos electrónicos entrantes.
Copyright 2024 Agencia Tributaria
Como se puede ver, el mensaje es impersonal, dirigiéndose a nosotros sin utilizar ningún dato personal que nos identifique, dando unos datos que pueden ser inventados (como el identificador), citando una ley para dar más credibilidad al mensaje, y firmando como si fuera de la Agencia Estatal de Administración Tributaria (AEAT).
El mensaje nos informa de algo relacionado con el impuesto sobre el valor añadido (IVA) y una supuesta falta de documentación. Por supuesto nos meten prisas para actuar, pero no debemos hacerlo porque es un engaño, una suplantación de identidad.
CASO 2. ESTE EMAIL SE CORRESPONDE CON UN AVISO DE UNA NOTIFICACIÓN ELECTRÓNICA.
Otra forma en la que nos puede llegar este correo phishing es con este encabezado, que en esta ocasión trata de hacernos creer que la AEAT ha emitido una notificación para nosotros y nos facilita un enlace de acceso para acceder a ella. El formato del mensaje es como el siguiente:
Asunto: Alerta de nueva notificación de AEAT
ESTE EMAIL SE CORRESPONDE CON UN AVISO DE UNA NOTIFICACIÓN ELECTRÓNICA.
Le informamos que está disponible una nueva notificación para XXXXX como Titular con los siguientes datos:
Titular: XXXXX
Organismo emisor: Agencia Estatal de Administración Tributaria, con DIR3: L02000050
Identificador: 51232834-437426-30-870-9325-423574513
Concepto: Notificación — Expediente 4699/2023 (SIA 2087160, Serie SF0249)
Vínculo: Titular
Puede acceder a esta notificación en la Dirección Electrónica Habilitada Única (DEHÚ) del Punto de Acceso General, disponible en: https://agenciatributaria.gob.es
Le facilitamos un enlace directo a la notificación.
De acuerdo con lo previsto en los artículos 41 y 43 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la aceptación de la notificación, el rechazo expreso de la notificación o bien la presunción de rechazo por no haber accedido a la notificación durante el periodo de puesta a disposición, dará por efectuado el trámite de notificación y se continuará el procedimiento.
Puede recibir esta notificación por distintas vías electrónicas o incluso en papel por vía postal. Si accediera al contenido de esta notificación por más de una de estas vías, sepa que los efectos jurídicos, si los hubiera, siempre empiezan a contar desde la fecha en que se produzca su primer acceso.
Gobierno de España
Si cayésemos en la trampa y clicáramos en el enlace, nos redirigirían a una web fraudulenta que imita la real y donde nos solicitan las credenciales de acceso. Si las introdujéramos, los datos quedarían en manos de los ciberdelincuentes.
CASO 3. Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXX
El tercer caso que se está identificando es el más reciente y tiene este encabezado y es aún más peligroso ya que contiene datos que simulan ser información personal del destinatario (aunque según INCIBE sólo varía la dirección de correo electrónico).
En este caso la entidad suplantada es la Dirección Electrónica Habilitada Única (DEHÚ) de la Agencia Tributaria y por eso el correo se recibe desde una dirección con dominio @redsara.es, lo que lo hace más creíble.
El texto del mensaje lo podéis ver en la foto pero, en cualquier caso, es un engaño más que tiene la finalidad de robar nuestros datos para usarlos con fines ilegítimos.
¿Qué hacer si lo hemos recibido?
Si has recibido alguno de estos correos, u otro similar, lo primero es recordar que la AEAT nos advierte de que “nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes ni adjunta anexos con información de facturas u otros tipos de datos”.
Por otro lado, deberíamos saber que para acceder al área personal de la Agencia Tributaria necesitamos un certificado digital, DNI electrónico o Cl@ve, nunca el correo electrónico. Por ello, simplemente por el hecho de que el falso formulario nos pida la dirección de e-mail deberíamos sospechar.
Por todo ello, ante una sospecha de phishing o haber recibido un correo como los que hemos detallado, lo primero es no responder, eliminarlo inmediatamente, por supuesto no acceder al enlace ni proporcionar ningún dato.
Si estamos en un entorno de trabajo, hay que ponerlo en conocimiento del resto de compañeros y del equipo de sistemas para evitar que alguien caiga en la trampa.
Y, en cualquier caso, hay que seguir los consejos que nos da la Agencia Tributaria para protegernos del phishing:
- No abrir mensajes de usuarios desconocidos o que no hayamos solicitado. Lo mejor es eliminarlos directamente.
- No contestar en ningún caso a estos mensajes.
- Tener cuidado al seguir enlaces en correos. incluso aunque sean de contactos conocidos.
- Extremar la precaución al descargar ficheros adjuntos de correos, incluso aunque sean de contactos conocidos.
¿Qué hacer si caemos en la trampa?
Si por lo que sea hemos accedido al enlace e introducido nuestras credenciales, los pasos a seguir serían:
- Cambiar inmediatamente la contraseña que hemos proporcionado, tanto en éste como en todos los servicios donde la utilicemos.
- Activar un doble factor de autenticación siempre que esto sea posible.
- Reportar el incidente en la web de INCIBE con la finalidad de evitar que la campaña de phishing se siga propagando.
- Informar a la Agencia Tributaria sobre el correo recibido a través de su formulario de problemas de seguridad y fraudes.
Siguiendo todos estos consejos esperamos que hayáis aprendido como evitar el phishing relacionado con la Agencia Tributaria, pero también que seáis conscientes de la amenaza que supone este problema (en todas sus variantes) y sepáis cómo afrontarlo.
Imágenes | Fotos de freepik 1 y 2, cookiestudio, jeepjunior99, INCIBE y Agencia Tributaria
