Alerta: Comunicación suplantación AEAT
Durante determinadas épocas del año, como esta que coincide con la campaña fiscal o trámites relacionados con la declaración de la renta, aumentan significativamente los intentos de fraude y suplantación de organismos oficiales. Así lo advierte INCIBE, que recuerda que los ciberdelincuentes aprovechan estos periodos para lanzar campañas haciéndose pasar por entidades como la Agencia Tributaria.
Desde INCIBE se ha detectado una campaña de suplantación (smishing) a la Agencia Estatal de Administración Tributaria (AEAT) a través mensajes de texto (SMS), con el objetivo de engañar a las víctimas para que faciliten sus datos personales y bancarios. Según indica el organismo, la Agencia Tributaria no ha emitido ninguna comunicación oficial relacionada con estos mensajes.
Concretamente existen tres elementos principales que delatan que este mensaje es falso:
El enlace (URL) es sospechoso: la web oficial de la Agencia Tributaria siempre termina en .gob.es o .es (por ejemplo, sede.agenciatributaria.gob.es). El dominio de la imagen termina en .top o en .click, según otras evidencias, que es una extensión barata y muy utilizada por ciberdelincuentes para crear páginas web temporales de estafa.
El remitente "AEAT" es engañoso. El SMS aparece bajo el nombre "AEAT". No te fíes de esto; los atacantes utilizan técnicas de SMS spoofing para camuflar el número de teléfono real y hacer que en tu pantalla aparezca el nombre de una institución legítima, logrando incluso que el mensaje se cuele en el mismo hilo de SMS auténticos que hayas recibido antes.
Falta de personalización y redacción extraña. El mensaje dice "dirigida a usted , que usted recibe en calidad de titular". Deja un espacio extraño antes de la coma y utiliza una redacción redundante y artificial. Además, las notificaciones reales de la administración pública suelen incluir tu nombre, apellidos o parte de tu NIF, nunca son tan genéricas.
Copiamos a continuación la solución que desde el Instituto Nacional de Ciberseguridad nos proponen:
Si has recibido un mensaje de texto (SMS), supuestamente de la AEAT, pero no has accedido al enlace fraudulento que acompaña al mensaje, te recomendamos que lo reportes a su buzón de incidentes. Esto nos permitirá recopilar la información para prevenir que otros usuarios caigan en este tipo de fraude. Además, bloquea al remitente y elimina el mensaje.
En el caso de haber accedido al enlace y haber facilitado información personal y/o bancaria, recomiendan que realices lo siguiente:
Ponte en contacto con la Línea de Ayuda en Ciberseguridad del Incibe para que te asesoren de forma especializada.
Contacta con tu entidad bancaria para que puedan ayudarte a bloquear cualquier movimiento no autorizado y la tarjeta bancaria.
Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla o enlaces maliciosos. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas, especialmente en este caso de smishing.
Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las pruebas recopiladas durante el proceso.
Práctica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida.
Si dudas sobre la legitimidad de una comunicación vía SMS o correo electrónico, verifica siempre antes de actuar por los canales oficiales, como la web de la Agencia Tributaria.
Ni la AEAT, ni Caixalmassora, ni las entidades bancarias jamás te pedirán por SMS o correo electrónico información confidencial, números de tarjeta de crédito, cuentas bancarias, ni te enviará un enlace directo para cobrar una devolución de impuestos.
Ejemplo de mensaje falso que se está recibiendo.
Al pulsar en el enlace, nos redirige a una web fraudulenta que imita a la legítima, donde nos pedirán datos personales y bancarios para recibir una supuesta devolución. La web puede ser similar a esta.
