Cuidado con este correo electrónico porque forma parte de una campaña fraudulenta, como ha asegurado la Agencia Tributaria (AEAT) en su página web. El Instituto Nacional de Ciberseguridad (INCIBE) ha asegurado a Maldita.es que se trata de un caso de email spoofing: los ciberdelincuentes imitan el dominio real de la Agencia Tributaria (@aeat.es) y consiguen ocultar la verdadera dirección de correo desde la que envían el mensaje.
Cómo usan el dominio de la AEAT para enviar correos electrónicos fraudulentos
El correo avisa de una notificación “urgente” en relación a una supuesta obligación fiscal. El dominio del remitente es @aeat.es, registrado a nombre de la Agencia Tributaria.
¿Cómo es posible que los timadores envíen un correo desde la dirección de este organismo? El INCIBE indica a Maldita.es que los ciberdelincuentes “no han hackeado el sistema ni robado el dominio de la AEAT”, sino que emplean la técnica de email spoofing. Imitan la dirección oficial de la Agencia Tributaria y consiguen ocultar la verdadera dirección de correo desde la que envían el mensaje.
El INCIBE explica que este tipo de suplantación es posible porque el protocolo de transferencia de correos electrónicos (Simple Mail Transfer o SMTP), que es el principal protocolo utilizado en el envío de correos, “es muy antiguo” y no incorpora mecanismos de verificación de identidad. “Es un engaño muy común que se usa para que la víctima abra un enlace que lleva a una página falsa donde intentan robar datos personales o bancarios, o descargue un adjunto malicioso”, apunta el INCIBE.
La AEAT aegura a Maldita.es que suplantar un dominio “no es algo especialmente complejo ni extraordinario” y explica que, para evitar la suplantación de un dominio, usan unos protocolos de seguridad con los que “los servidores de las empresas que gestionan las cuentas de correo -Gmail, Outlook o Yahoo- puedan rechazar un correo” si no es auténtico. Según cuentan, “no siempre las empresas gestoras de las cuentas de correo logran comprobar los protocolos y, puntualmente, los correos falsos acaban llegando”.
En su web oficial, la AEAT ha alertado de este fraude y advierte de que el archivo adjunto del correo redirige a una web que “suplanta la imagen de la Sede electrónica de la Agencia Tributaria”. El objetivo de los ciberdelincuentes es hacerse con nuestros datos personales y nuestro dinero.
Recomendaciones de la AEAT para evitar caer en el engaño
La Agencia Tributaria señala que “nunca adjunta anexos con información de facturas u otros tipos de datos por correo electrónico”.
También recomienda evitar los enlaces de correos electrónicos así como “descargas de ficheros no seguros”. Si, como en este caso, el archivo adjunto suplanta la identidad de la AEAT, puedes fijarte en si la URL de la web es la oficial de la AEAT o si el texto contiene faltas de ortografía o gramaticales.
Ante cualquier duda, este organismo aconseja acceder directamente a la Sede Electrónica de la AEAT “tecleando la dirección en el navegador (sede.agenciatributaria.gob.es/) y verificando el certificado de la Sede”. Una vez en la página oficial, comprobar si tenemos comunicaciones o notificaciones pendientes.
Otro elemento clave para identificar un correo de email spoofing es visualizar la cabecera del email para ver la dirección desde la que realmente se ha enviado el mensaje. El INCIBE explica en una guía cómo visualizar esta información en los principales servicios de correo electrónico (Gmail, Outlook, Yahoo…) y cómo puedes protegerte.
Qué hacer si hemos sido víctimas de este timo
Si has caído en el engaño y has facilitado tus datos, aquí tienes una serie de pasos a seguir:
Recopila todas las evidencias de cómo se ha producido el timo y denuncia ante la Policía Nacional o la Guardia Civil.
Si has facilitado tus datos personales, práctica el egosurfing para comprobar que no se está haciendo un uso indebido de los mismos.
Si también has facilitado los datos de tu tarjeta bancaria, contacta con tu banco para contarle lo ocurrido. Valora si es necesario bloquear o anular tu tarjeta y solicitar una nueva.
Si piensas que has sido víctima de este timo puedes contarnos tu historia escribiéndonos a [email protected].