La nueva estafa vía SMS que suplanta a la Agencia Tributaria

Esta campaña de smishing solicita a los usuarios sus datos personales y bancarios con la excusa de tramitar una ayuda económica de 200 euros.

Guardar

Logotipo de la Agencia Tributaria en la mampara de una oficina de Hacienda (Foto: Europa Press).
Logotipo de la Agencia Tributaria en la mampara de una oficina de Hacienda (Foto: Europa Press).

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) ha alertado sobre una nueva campaña de smishing que suplanta a la Agencia Tributaria con el objetivo de robar los datos personales y bancarios de sus víctimas. Para ello, el SMS utiliza como gancho la ayuda de 200 euros que actualmente está proporcionando el Gobierno y que supuestamente Hacienda no ha podido tramitar en beneficio del usuario "debido a la falta de información de pago".

Como en cualquier ataque de smishing, todo comienza con un SMS, que en este caso dicta lo siguiente: "Agencia Tributaria notificaciones: no hemos podido tramitar la ayuda de 200 euros a tu cuenta bancaria. Debido a la falta de información de pago, actualice desde aquí: [URL fraudulenta]".

El SMS de la campaña de smishing que suplanta a la Agencia Tributaria (Fuente: OSI)
El SMS de la campaña de smishing que suplanta a la Agencia Tributaria (Fuente: OSI)

 

Así lo señala la OSI en el último aviso que ha publicado en su página web para advertir sobre esta campaña maliciosa explicando todos los detalles de la misma. Según explica, si el usuario pulsa en el enlace del SMS es redirigido a una página web fraudulenta que se hace pasar por la original de la Agencia Tributaria y en la cual se le solicita que rellene un formulario proporcionando la siguiente información: nombre completo, número de teléfono, dirección, código postal, número de tarjeta, fecha de caducidad de la tarjeta, código de seguridad y el PIN de dicha tarjeta.

Web fraudulenta que simula a la legítima de la Agencia Tributaria (Fuente: OSI)
Web fraudulenta que simula a la legítima de la Agencia Tributaria (Fuente: OSI)

 

"Una vez completado y pulsado en el botón de 'Continuar', pedirá que se introduzca un código SMS recibido en el número de teléfono aportado, para así completar el supuesto reembolso. Tras introducir dicho código, redirigirá a la página oficial y de la Agencia Tributaria", prosigue indicando el aviso de la OSI, que termina advirtiendo que los ciberdelincuentes suelen realizar este tipo de redirección para desorientar a los usuarios y hacerles creer que han completado un proceso normal y oficial pero que, en realidad, ya les habrá permitido estar en posesión de nuestros datos.

Web de la Agencia Tributaria utilizada en una campaña de smishing (Fuente: OSI)
Web de la Agencia Tributaria utilizada en una campaña de smishing (Fuente: OSI)

 

¿Qué hacer si se recibe este SMS? ¿Y si se cae en la trampa?

La Oficina de Seguridad del Internauta también responde a estas dos preguntas. En el caso de la primera, insta a los usuarios a bloquear el mensaje y a eliminarlo de su bandeja. Y en el caso de la segunda, es decir, si se ha accedido a la URL del mensaje y se han facilitado los datos personales y bancarios, recomienda tomar las siguientes medidas:

  • Informar al banco y bloquear todos los movimientos que se hayan realizado sin autorización. También estar pendiente de los movimientos en los próximos meses y contactar con el banco si se producen algunos desconocidos o sin consentimiento para cancelarlos.
  • Cambiar lo antes posible los códigos de seguridad y el PIN de la tarjeta de crédito.
  • Recopilar todas las evidencias del fraude –extractos bancarios, URL de la página fraudulenta a la que proporcionaste los datos y toda la información que puedas proporcionar al respecto– para presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Estas evidencias también se pueden recabar con testigos online y, una vez que se haya interpuesto la denuncia, se debe entregar una copia a la entidad bancaria afectada.
  • Si esta denuncia no sirviera para recuperar el dinero estafado, se puede presentar una reclamación a través del Banco de España.
  • Buscar en internet la información que se haya aportado en la web maliciosa realizando la práctica conocida como egosurfing. En caso de encontrar algún dato expuesto, recordar que se puede solicitar el derecho al olvido a través de la Agencia Española de Protección de Datos.
  • Si se recibe una notificación por parte de la Agencia Tributaria y surgen dudas, visitar su página web y consultar ejemplos de fraudes que se han elaborado suplantándola, e incluso reportárselos si se ha sido objetivo de uno.
  • También se puede contactar con la Agencia Tributaria para contrastar la información de los SMS o correos recibidos y solventar dicho problema a través de su chat.

Finalmente, cabe destacar que la Agencia Tributaria ya había sido suplantada en otras campañas maliciosas de smishing y de phishing que han utilizado diferentes cebos entre los que también se incluye la Declaración de la Renta, una ocasión ideal para los ciberdelincuentes.