Campañas de phishing por correo electrónico que llevan a webs falsas, a descargar un archivo malicioso o a contactar por WhatsApp
Una de las técnicas más habituales consiste en enviar correos electrónicos que aparentan ser de la Agencia Tributaria. En estos casos, el usuario recibe un mensaje que, a simple vista, parece enviado desde el organismo y que le informa de una supuesta notificación urgente o de falsos reembolsos de impuestos.
Según las advertencias del Instituto Nacional de Ciberseguridad (INCIBE), estos correos suelen utilizar asuntos relacionados con gestiones tributarias y apelan a la urgencia para que el usuario actúe con rapidez. El objetivo es que el destinatario haga clic en enlaces que llevan a webs externas que imitan la apariencia de la sede electrónica del organismo o que descargan archivos fraudulentos.
Un caso del que advirtió el INCIBE es una campaña de correos electrónicos que informaba al destinatario de que tenía una notificación electrónica pendiente. El mensaje incluía un enlace que dirigía a una página web que imitaba la apariencia de la sede electrónica de la Agencia Tributaria. En esa página se pedía al usuario que introdujera sus credenciales de acceso para consultar la supuesta notificación.
En otro caso del que alertamos en Maldita.es, en lugar de redirigir a una web fraudulenta, el enlace del mensaje incluía un archivo que, al descargarlo y descomprimirlo, se instalaba un programa malicioso en el dispositivo del usuario.
En otro ejemplo, el correo pedía ponerse en contacto con un número de teléfono por WhatsApp para solicitar un supuesto reembolso, pero la AEAT nunca pide contactar por este canal de mensajería.
Email spoofing: correos que aparentan enviarse desde el dominio oficial de la Agencia Tributaria
En otras ocasiones, los ciberdelincuentes consiguen falsificar el remitente de un correo electrónico para que parezca que el mensaje procede de una dirección legítima, lo que se conoce como email spoofing. De esta forma, el destinatario puede ver en su bandeja de entrada una dirección que aparenta pertenecer al dominio oficial de un organismo, aunque el mensaje no haya sido enviado desde sus servidores.
En uno de los casos que verificamos, los contribuyentes observaron en su bandeja de entrada un correo que aparentaba proceder del dominio @aeat.es, utilizado por la Agencia Tributaria. En el mensaje se avisaba al destinatario de una “notificación urgente relacionada con una obligación fiscal pendiente” y se le pedía que revisara un documento adjunto para conocer los detalles.
Sin embargo, se trataba de correos electrónicos fraudulentos con un archivo adjunto que redirigía a una web que “suplanta la imagen de la Sede electrónica de la Agencia Tributaria”, según el organismo.
Mensajes SMS (smishing) que se hacen pasar por comunicaciones de Hacienda
Además de los correos electrónicos, las suplantaciones de la Agencia Tributaria también circulan por SMS, una técnica conocida como smishing. En estos casos, el usuario recibe un mensaje de texto en su teléfono móvil que aparenta proceder del organismo y que incluye un enlace para realizar una supuesta gestión relacionada con los impuestos.
Estos mensajes suelen hacer referencia a operaciones que requieren una acción inmediata por parte del destinatario, como devoluciones del IRPF, problemas en el historial fiscal o que piden verificar la información de pago.
En la mayoría de los casos, los SMS incorporan un enlace que redirecciona a una página externa que imita la apariencia de una web oficial y en la que se solicita al usuario que introduzca información personal, credenciales o datos bancarios.
Las recomendaciones de la Agencia Tributaria para no caer en los timos
Frente a las campañas de engaños que se hacen pasar por la AEAT, el organismo insiste en que nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes ni adjunta anexos con información de facturas u otros tipos de datos.
Si se llega a recibir un correo o un SMS sospechoso, la Agencia Tributaria recomienda no abrir mensajes de desconocidos y eliminarlos, no contestar a estos mensajes y evitar los enlaces de correos electrónicos así como “descargas de ficheros no seguros”.
Ante cualquier duda, este organismo aconseja acceder directamente a la Sede Electrónica de la AEAT “tecleando la dirección en el navegador (sede.agenciatributaria.gob.es/) y verificando el certificado de la Sede”. Una vez en la página oficial, comprobar si tenemos comunicaciones o notificaciones pendientes. Además, existen algunos elementos en los que nos podemos fijar para reconocer cuándo una notificación de Hacienda no es real.