Muchos españoles estamos llamados durante estas próximas semanas a realizar la declaración de la renta anual y, como en todas las campañas y más en la medida en que se digitalizan los procedimientos, aparecen los fraudes de suplantación de la Agencia Tributaria. El Incibe (Instituto Nacional de Ciberseguridad) y la Policía Nacional han alertado del aumento de estos ataques a través de mensajes MSMen los últimos días y esperan el correspondiente aumento de denuncias de personas que han sido víctimas de estos.
El cebo de esta campaña conocida con el término de smishing es un mensaje de texto enviado masivamente por SMS a los contribuyentes, en el que la supuesta Hacienda informa que ha ordenado el pago de una cantidad a favor de la víctima (el más habitual es de 411,00 euros) como devolución del IRPF de la campaña de 2023.
Lógicamente, el mensaje es un cebo muy bien confeccionado para direccionar a una web fraudulenta que suplanta a la Agencia Tributaria y cuyo fin último es obtener los datos personales y bancarios del estafado.
A los delincuentes les está funcionando y el smishing está teniendo mucha repercusión en nuestro día a día, sobre todo durante la campaña de la renta en colectivos muy vulnerables a la misma, como los más mayores y aquellos que no manejan habitualmente los procesos digitales.
Los delincuentes buscan datos personales y si los obtienen hacen uso de estos. El botín último de estas campañas fraudulentas son cargos y transferencias maliciosas en las cuentas y tarjetas de crédito sobre las que se han revelado datos y códigos. Los datos personales y correos electrónicos interceptados son vendidos a otras redes de estafadores que hacen un uso ilegal de los mismos.
En caso de ataque, los expertos en ciberseguridad recomiendan bloquear al remitente y eliminarlo de la bandeja de entrada de los SMS del teléfono móvil. El correo malicioso más habitual que se está leyendo estos días tiene el siguiente texto: «AGENCIATRIBUTARIA:Se ha ordenado el pago de 411,00 euros de su devolución del IRPF de la Renta 2023. Más información en la web...».
Si se ha caído en el engaño y se han facilitado los datos personales y bancarios que se pedían, hay que capturar y almacenar todas las pruebas posibles del fraude; ponerse en comunicación con el número gratuito 017 de "Ayuda en Ciberseguridad" para asesorarse e informarse sobre qué hacer; y dirigirse a la Comisaría para presentar la correspondiente denuncia con las pruebas reunidas del fraude.
La Agencia Tributaria también facilita informaciones sobre ciberseguridad y de todos los fraudes que suplantan habitualmente a este organismo. Puntualiza que nunca solicita por correo o SMS información confidencial, económica o personal, números de cuenta ni de tarjeta ni adjunta anexos con información de facturas. Además, nunca realiza devoluciones por estas vías, sino mediante transferencia bancaria a la cuenta de titularidad que hayas indicado en el documento de ingreso o devolución.
El Incibe insiste en que detrás de esta delincuencia digital están las mafias internacionales, que tienen una gran capacidad de adaptación a los usos de cada país y de cada circunstancia. Cualquier excusa es buena para inventar un nuevo cebo digital.
Sí que es cierto que muchos mensajes incluyen errores ortográficos y URL (direcciones digitales) que difieren de las oficiales, pero en este tema también están perfeccionándose y ya no es tan fácil distinguir el engaño.