Los ciberdelincuentes han vuelto a aprovechar el interés que suelen despertar las notificaciones de la Agencia Tributaria entre la ciudadanía poniendo en marcha una nueva campaña de smishing que suplanta por enésima vez a la entidad, adscrita al Ministerio de Hacienda y Administraciones Públicas.
El Instituto Nacional de Ciberseguridad (INCIBE) ha sido el que ha dado la voz de alarma sobre esta campaña que, en esta ocasión, tiene como objetivo robar los datos personales de las personas que caigan en la trampa.
⚠️ #INCIBEaviso | Presta atención a los mensajes de texto procedentes de la #AgenciaTributaria, se ha detectado un intento de fraude #smishing a través de SMS. #AvisosDeSeguridad #NextGenerationEUhttps://t.co/49VibsWbTN pic.twitter.com/ISV6iSOVue
— Oficina de Seguridad del Internauta (@osiseguridad) September 28, 2023
Como funciona esta campaña de smishing
Todo comienza con un SMS que simula proceder de Hacienda e indica a sus potenciales víctimas que se ha detectado una "incidencia grave en su declaración", por lo que se enfrentan a una "posible sanción" de más de 1.000 euros, exactamente de 1.059,75€. Con esta excusa, insta a los usuarios a pulsar en el enlace adjunto para que envíen "la documentación necesaria inmediatamente".
Si los usuarios pulsan el enlace, son redirigidos a una web maliciosa que se hace pasar por la página legítima de la Agencia Tributaria y, en un primer momento, solicita verificar la identidad con uno de los siguientes métodos: identificación con DNI y fecha de caducidad; identificación con certificado digital; o identificación con cl@ve.
Una vez completado este paso, la página pide a los usuarios que adjunten su DNI por ambas caras y una nómina reciente. Y, si se hace, la web muestra un mensaje en el que indica que "los documentos han sido subidos con éxito", llegando así a las manos de los ciberdelincuentes.
La Agencia Tributaria advierte y recopila los casos en los que ha sido suplantada
Como hemos comentado al principio, la Agencia Tributaria ha sido suplantada en muchas ocasiones en campañas de este estilo, así como en ciberestafas y en otros ataques de ingeniería social. Los casos son numerosísimos y el propio organismo recopila en su página web varios ejemplos que datan de septiembre del 2020 hasta el pasado 7 de septiembre, cuando informó de una campaña igual que la actual, salvo que el SMS indicaba que la posible sanción era aún más elevada, de 1.248,55 euros y ponía un plazo de 24 horas para enviar la documentación.
"La Agencia Tributaria insiste en que nunca solicita por correo electrónico, SMS o Bizum información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes, ni adjunta anexos con información de facturas u otros tipos de datos", subraya la entidad.
En Escudo Digital ya habíamos informado anteriormente de otras campañas de smishing que han suplantado la identidad de la Agencia Tributaria y también hemos explicado qué se debe hacer si se recibe un SMS de este tipo y, lo que es mucho peor, si se muerde el anzuelo.
