“La Agencia Tributaria te calificó para un reembolso de impuestos. Encuentre el formulario de reembolso en el siguiente sitio web (…)”. Este es el tipo de mensajes fraudulentos que los ciberdelincuentes nos envían a través de mensaje de texto o correo electrónico haciéndose pasar por el organismo público. La mayoría de estos intentos de timo incluyen un enlace a una página web que suplanta a la de la Agencia Tributaria, utilizando el diseño de la misma y una URL que imita a la oficial.
Se trata de casos de phishing, los timadores suplantan a la institución para hacerse con nuestros datos personales y nuestro dinero. Sin embargo, desde la Agencia Tributaria advierten de que nunca solicitan “por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes” ni tampoco adjuntan “anexos con información de facturas u otros tipos de datos”.
Cómo nos la intentan colar
A través de Twitter, el foro de tecnología elhacker.net ha compartido la dirección de dos dominios falsos que se hacen pasar por la Agencia Tributaria.
Aunque estas páginas web ya no están disponibles, podemos ver cómo los timadores intentan engañarnos con dominios que se parecen a las páginas web oficiales. Por ejemplo, la URL “https://agenciatributaria.la” es muy similar a la web oficial de la institución: “https://sede.agenciatributaria.gob.es”. La web fraudulenta incluso cuenta con el protocolo HTTPS y en Maldita.es ya os hemos explicado por qué esto no es garantía de que una web sea 100% fiable.
Se trata de un caso en el que se utiliza la técnica del cybersquatting, una práctica que consiste en registrar un nombre de dominio de una página muy parecido al de una empresa o institución para usarlo con fines fraudulentos y hacernos creer que estamos ante la página oficial. Todo ello con el fin de hacerse con nuestros datos o nuestro dinero.
En el caso anterior, la estrategia que utilizan es usar el nombre de la entidad pero con una extensión (lo que va después del punto) distinta. Es decir, la web legítima termina en “.es”, pero la fraudulenta utiliza la extensión “.la”.
Veamos otro ejemplo. Se difundió este SMS fraudulento en el que te avisaban de un supuesto reembolso de 134,39 euros por parte de la Agencia Tributaria. Sin embargo, los dominios de las páginas web que aparecían en esos mensajes de texto eran “agenciatributaria.help” y “agenciatributaria-es.online”. Pero, como hemos indicado,
la URL oficial de la Agencia Tributaria es “https://sede.agenciatributaria.gob.es” . Estamos ante otro caso de cybersquatting.
Además de utilizar páginas web con dominios parecidos al oficial, los timadores copian la imagen de la web de la Agencia Tributaria. Por ejemplo, este SMS que te avisaba de un reembolso de 462 euros por parte del organismo enlazaba a una web (aarabynt-b0ef40.ingress-earth.ewp.live) en la que usaban el logotipo y el diseño de la página oficial. Allí nos solicitaban nuestros datos personales (nombre completo y número de teléfono) y los datos de nuestra tarjeta bancaria.
La Agencia Tributaria no solicita información personal a través de SMS o correo electrónico
En su página web, la Agencia Tributaria insiste en que nunca solicita a los contribuyentes información personal, números de cuenta o de tarjeta a través de correo electrónico o SMS, ni tampoco incluyen en sus comunicaciones anexos con información de facturas u otros datos. El organismo alerta de que se están produciendo campañas de phishing a través de correo o SMS en las que se suplanta a la institución con el objetivo de “robar a la víctima datos personales o bancarios, ya sea remitiéndole a una página web falsa que suplanta a la de la Agencia Tributaria o haciéndole descargar ficheros con virus”.
El organismo recomienda no abrir mensajes de usuarios desconocidos o que no hayamos solicitado y eliminarlos directamente. En ningún caso debemos contestar a esos mensajes. La Agencia Tributaria aconseja llevar precaución a la hora de pinchar en los enlaces que se adjuntan o de descargar ficheros, aunque se trate de contactos conocidos. Además, en esta página web recopilan los ejemplos de intentos de phishing en los que se suplanta la identidad de la institución.
Consejos para evitar ser víctima de 'phishing'
No podemos hacer que dejen de llegar estos mensajes, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Contrasta con las fuentes antes de dar tus datos o pulsar un enlace.Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp (+34 644 22 93 19).
También puedes contactar con la Oficina de Seguridad del Internauta(OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o utilizar su línea de ayuda en ciberseguridad.
Si piensas que has sido víctima de este fraude u otro similar, puedes contarnos tu historia escribiéndonos a [email protected].