La campaña de la Renta ha desatado una oleada de correos electrónicos fraudulentos suplantando a la Agencia Tributaria para intentar engañar a los ciudadanos y romper su seguridad online. La modalidad más utilizada para este tipo de ciberataque es el llamado phishing: los ciberdelincuentes se hacen pasar por una empresa, institución o servicio de confianza para engañar al usuario y robar sus datos privados, credenciales de acceso o información bancaria.
En el caso concreto de esta campaña, los estafadores envían un correo electrónico supuestamente remitido por la Agencia Estatal de la Administración Tributaria (AEAT). Usualmente el asunto del mail está marcado como “Mensaje de devolución de impuestos” y en el texto hay un enlace a una página web que simula ser la de la AEAT, con un formulario donde solicitan datos con la excusa de devolver cierta cantidad de dinero: nombre, NIF, número de tarjeta, fecha de caducidad, código PIN o fecha de nacimiento. Otras de las excusas utilizadas para llamar la atención son un “Comprobante de transferencia bancaria”, “Está pendiente una supuesta acción fiscal”, “Está pendiente una factura por pagar” o que “Hay que revisar un comprobante fiscal”.
La Policía española explica que, con la información recaudada, los delincuentes pueden realizar inmediatamente compras por la red o, incluso, hacer un duplicado de la tarjeta de crédito y sacar dinero directamente de los cajeros automáticos. Esta autoridad insiste que ninguna entidad bancaria ni organismo oficial solicita datos personales o bancarios a través de mensajes de correo.
También Banco Santander alerta a sus clientes de esta situación y ofrece algunos consejos para evitar caer en la trampa. El primero de ellos es no abrir los correos de origen desconocido o aquellos que incluyan archivos adjuntos extraños. Hay que extremar la precaución antes de hacer clic en los enlaces de los correos, y siempre es mejor escribir la URL directamente en el navegador para llegar a la web que estamos buscando. También hay que pensar dos veces antes de descargar ficheros adjuntos, incluso aunque lo mande un contacto conocido.
Las pistas más comunes para detectar el engaño suelen estar en el propio correo: errores gramaticales en el texto, faltas de ortografía o mensajes de urgencia. Es fundamental consultar la información y hacer todos los trámites directamente a través de los canales oficiales de la Agencia Tributaria. Cabe recordar, además, que generalmente las notificaciones se envían por correo postal certificado y no por correo electrónico.
Pero los correos electrónicos no son el único medio a través del cual los ciberdelincuentes intentan que los ciudadanos caigan en sus manos. Hay otros medios de propagación, como las redes sociales, a través de la creación de perfiles y páginas falsas. También se usan las llamadas telefónicas (tanto a teléfonos móviles como fijos) y el envío de mensajes SMS/MMS. Precisamente, el Instituto Nacional de Ciberseguridad (INCIBE) ha emitido de una alerta acerca de Campaña de SMS fraudulentos que suplantan a la Agencia Tributaria, conocidos como smishing. El objetivo es el mismo que en el caso anterior: que el receptor acceda a un enlace que le redirige a una página fraudulenta de aspecto similar a la legítima para sustraer los datos de su tarjeta bancaria.
Los estafadores envían estos SMS con la excusa de recibir un supuesto reembolso de 71€ y se insta al receptor a hacer clic en un enlace que redirige a una página falsa, en la que se le solicitan datos bancarios para abonar dicha cantidad. Esta página fraudulenta tiene un diseño muy parecido al de la legítima, por lo que no hace sospechar al ciudadano de encontrarse ante una web falsa. La forma de comprobarlo es revisando la URL de la web, que no es el dominio legítimo. Si el usuario introduce sus datos bancarios, estos pasarán a manos de los ciberdelincuentes.
En caso de haber accedido al enlace y facilitado los datos para recibir el reembolso, se recomienda contactar lo antes posible con la entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar. Por otro lado, si la persona ha facilitado también datos personales, como el número de teléfono o el correo, debe permanecer atento y comprobar que no es objeto de otro tipo de fraude por esos medios o que no estén suplantando su identidad. Además, siempre se puede denunciar esta situación ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
Lo cierto es que a medida que crece la digitalización, aumentan también los ataques en las redes. El servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE atendió el año pasado más de 69.000 consultas a través del 017 y de sus diferentes canales de contacto, relacionadas principalmente con inquietudes sobre SMS y correos electrónicos fraudulentos.
Banco Santander tiene a disposición de clientes y no clientes las principales recomendaciones de seguridad online para tener una vida digital sin dolores de cabeza, con un espacio especial en su página web con todo lo que los usuarios deben conocer. Allí también ofrece un Test de Seguridad Online, para determinar el nivel de conocimiento sobre la protección de Internet y si se está suficientemente protegido. Para sus clientes, ofrece el software IBM Trusteer Rapport, un programa gratuito que proporciona una capa de seguridad adicional para navegar con más protección. Esta herramienta elimina automáticamente los virus o programas maliciosos del ordenador al detectar los posibles riesgos, garantizando que la información y las cuentas financieras estén más protegidas.