Al comenzar la campaña de la renta, desde Maldita.es os advertimos de que en estas fechas circulan timos que pretenden hacerse pasar por la Agencia Tributaria. Las víctimas reciben un mensaje en el que se les dice que es necesario pagar algo o actualizar la base de datos, pero últimamente estamos detectando casos en los que nos la intentan colar con el reembolso, aprovechándose de que mucha gente ya está recibiendo su devolución de la renta.
Estas personas reciben un supuesto mensaje de la Agencia Tributaria donde se les solicita ingresar sus datos personales —como los datos de la tarjeta bancaria— para poder acceder al reembolso. Esto, sin embargo, es un caso de phishing y cada vez los engaños utilizan artimañas más sofisticadas. En Maldita.es hemos hablado con una de las víctimas, que nos ha contado su caso.
La foto de perfil de Facebook usada como señuelo para engañar a la víctima
Una lectora de Maldita.es se ha puesto en contacto con nosotros para explicarnos su experiencia. Ella recibió un email que provenía, supuestamente, de la Agencia Tributaria y contenía un enlace desde donde se le pidió introducir sus datos de su tarjeta bancaria para poder recibir una devolución de la renta. Pero esto era un timo.
Lo primero que le llamó la atención del correo fue que este incluía una foto suya sacada de su perfil de Facebook. "Recibí un email haciéndose pasar por la Agencia Tributaria. Era un poco extraño porque la foto era de mi Facebook. Hago muchísimas transacciones por internet y yo esperaba una devolución de Hacienda”, afirma la víctima.
Según explica la Oficina de Seguridad del Internauta (OSI), es algo habitual que los timadores busquen información de las víctimas para llevar a cabo intentos de phishing.
El email también incluía el logo de la Agencia Tributaria y, a continuación, el mensaje decía: “Tienes derecho a recibir la devolución de tus impuestos del año 2022” por un total de 450 euros. Luego se pedía enviar la solicitud de devolución de impuestos para poder procesarla haciendo click en un enlace que llevaba a la web donde le pedían los datos de su tarjeta. Aquí fue donde la lectora hizo click.
Aunque no disponemos del enlace original, la OSI ha advertido de este email en su última actualización (el 24 de mayo de 2022) donde se alerta de que se ha identificado una campaña de correos electrónicos suplantando a la entidad con el propio logo.
La Agencia Tributaria nunca te pedirá que introduzcas información bancaria a través de un SMS o correo electrónico con la excusa de un reembolso
Tanto la Agencia Tributaria como la OSI han detectado varios casos de este tipo de phishing que utiliza el reembolso como excusa para hacerse con los datos bancarios de la víctima. En la web de la Agencia Tributaria, de hecho, podemos encontrar un apartado completo donde se alerta acerca de este tipo de prácticas. Se recomienda precaución en caso de recibir este tipo de enlaces, ya que la Agencia Tributaria jamás solicita por SMS o correo electrónico información personal y bancaria.
En su página web aparecen diferentes ejemplos de intentos de phishing que los clientes han compartido con la entidad.
Como ya hemos mencionado, también la OSI ha actualizado su artículo sobre la declaración de la renta para incluir casos sobre reembolso y añade una serie de recomendaciones al respecto para las víctimas tanto por email como por SMS.
Consejos para evitar ser víctima de 'phishing'
No podemos hacer que dejen de llegar estos mensajes, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Contrasta con las fuentes antes de dar tus datos o pulsar un enlace. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp (+34 644 22 93 19).
También puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o utilizar su línea de ayuda en ciberseguridad.
Si piensas que has sido víctima de este fraude u otro similar, puedes contarnos tu historia escribiéndonos a [email protected].
Primera fecha de publicación de este artículo: 08/06/2022